Pour démontrer leur fiabilité, les solutions informatiques peuvent obtenir une certification de sécurité. Celle-ci constitue un atout fort pour les produits IT sur le marché, dans un contexte où la cybersécurité est désormais un enjeu crucial pour les organisations. Mais, d’un pays à l’autre, comment s’assurer de la crédibilité d’une certification de sécurité ?
Qu’est-ce qu’une certification de sécurité ?
La certification de sécurité pour les solutions et logiciels informatiques consiste à évaluer le produit selon des normes de cybersécurité spécifiques. Celles-ci peuvent être relatives à un secteur et aux réglementations en vigueur au sein de la nation. Ainsi, selon le pays émetteur de la certification, celle-ci ne répondra pas aux mêmes exigences en matière de cybersécurité. C’est pourquoi, il est important d’analyser les critères qui permettent d’établir un niveau de crédibilité de la certification cyber.
Critères pour déterminer le niveau de crédibilité
La puissance cyber de la nation
La puissance cyber ou « cyber power » participe au rayonnement d’une nation sur le plan international. Il s’agit de sa capacité à utiliser les technologies numériques et le cyberespace pour atteindre ses objectifs nationaux et internationaux, grâce à des stratégies gouvernementales, des opérations défensives ou encore la mobilisation de ressources. Différents indices mondiaux permettent de déterminer ce niveau de puissance cyber.
L’indice NCPI du Harvard Belfer center
Le National Cyber Power Index (NCPI) du Belfer Center est un index de puissance cyber des nations. L’indice utilise des modèles de données qualitatifs et quantitatifs pour évaluer les capacités et l’atteinte des objectifs des Etats. Il se réfère à 29 indicateurs, répartis dans deux catégories :
- Les indicateurs d’intention
Les indicateurs d’intention (intent indicator) reflètent les priorités et les motivations d’un État en matière de cybersécurité. En d’autres termes, il démontre la façon dont le pays envisage d’utiliser ses capacités cybers, en fonction de ses objectifs stratégiques et politiques. Ceux-ci sont divers : défense, espionnage, contrôle de l’information, influence dans la définition des normes du cyberespace ou opérations offensives.
- Les indicateurs de capacité
Les indicateurs de capacité (capability intent) évaluent les capacités techniques et les ressources d’un pays sur le plan cyber, indépendamment de la manière dont il a choisi de les utiliser. Cela inclut notamment : l’expertise technique, l’infrastructure, les outils et technologies disponibles, et les ressources humaines qualifiées en cybersécurité.
Les résultats du rapport NCPI 2022
Dans le rapport NCPI 2022, les auteurs ont évalué la puissance cyber de 30 pays dans le monde. Ainsi, dans le top 10, on trouve les Etats-Unis, la Chine, la Russie, le Royaume-Uni et la France en 9ème position. L’Allemagne et les Pays-Bas se situent plus bas dans le classement.
La France obtient un score de capacité d’environ 40 pour l’objectif d’« influence dans la définition des normes du cyberespace » et se situe ainsi en 4ème position. En score d’intention, la France se classe dans le top 4 des nations les plus impliquées dans l’objectif de défense.
L’évaluation de l’Internal institute for strategics studies (IISS)
L’IISS a également développé une méthodologie pour déterminer les capacités cybers d’une nation et la façon dont celles-ci contribuent à sa puissance. L’institut classe ces capacités en 7 catégories distinctes :
- Stratégie et doctrine
- Gouvernance, commandement et contrôle
- Capacité essentielle de cyberespionnage
- Habilitation et dépendance à l’égard du cyberespace
- Cybersécurité et résilience
- Leadership mondial dans les affaires du cyberespace
- Capacité de cybersécurité offensive
Dans son « Cyber Capabilities and National Power » publié en 2021, l’IISS analyse la position de la France dans ces domaines. On peut y lire que « La France est à bien des égards le premier pays de l’UE en matière de cybersécurité et de planification de la résilience. »
La transparence de la France sur la cybersécurité
D’autre part, la France ferait preuve d’une plus grande transparence sur la question de la cybersécurité. En effet, le rapport stipule que le pays « maintient une séparation claire entre les opérations cybernétiques défensives et offensives. ». Ainsi, l’ANSSI (Agence Nationale de la Sécurité des systèmes d’informations) se consacre exclusivement aux opérations défensives et ne fait pas partie de la communauté du renseignement, contrairement à la National Security Agency (NSA) aux États-Unis ou du Government Communications Headquarters (GCHQ) au Royaume-Uni. « Cette distinction est importante pour certains en France, sur la base de l’hypothèse que les objectifs et le domaine de compétence d’une agence de renseignement, notamment sa disposition envers le secret, peuvent interférer avec certains des objectifs et des pratiques nécessaires à la cybersécurité du secteur civil, y compris le besoin d’une plus grande transparence concernant les violations de cybersécurité. »
La cyber power d’une nation est donc un des critères essentiels à prendre compte pour évaluer la crédibilité d’une certification de sécurité émise par un pays. En effet, lorsqu’un pays est hautement classé, cela démontre son haut niveau d’exigence et de capacité en matière de cybersécurité. L’autre critère décisif est celui du schéma de certification national.
Le schéma de certification national
L’unique standard international pour l’évaluation de la sécurité des produits et systèmes informatiques est le Common Criteria (CC). Celui-ci analyse des critères techniques, mais aussi organisationnels et relatifs aux process de l’entreprise afin d’attribuer un niveau de sécurité plus ou moins élevé (7 niveaux).
Ces critères sont très exigeants et supposent la mise en place de moyens importants par les organisations. Ainsi, seules des grandes entreprises ou des grands groupes ont les moyens de prétendre à une certification du CC. Or, cette difficulté d’attribution est en opposition avec la volonté de développer un système numérique de confiance, regroupant des organisations de toutes tailles, multi-nationales comme PME.
Pour faciliter cette démarche de certification, la France et l’Allemagne, forts de leur expérience de pays certificateurs, ont créé des schémas de certification nationaux, orientés sur l’évaluation technique des produits :
- Le Certification de Sécurité de Premier Niveau (CSPN), délivré par l’ANSSI en France
- Et le Beschleunigte Sicherheitszertifizierung (BSZ), délivré par le BSI en Allemagne
Ces schémas ont permis d’élargir la certification à un plus grand nombre de solutions informatiques, et de renforcer leur visibilité, tout en garantissant leur haut niveau de sécurité. En effet, la crédibilité de ces schémas de certification nationaux repose avant tout sur celle du pays émetteur.
L’expérience de la nation dans la délivrance de certification
(Common Criteria Statistics Reports 2022)
L’expérience de la nation dans la délivrance de certifications compte pour beaucoup dans la crédibilité de son schéma de certification. Et pour cause, le nombre de produits certifiés démontre une expertise et un engagement particulier pour la cybersécurité.
En 2022, selon le Common criteria Statistics report, la France, via l’ANSSI, est le leader mondial en nombre de certifications Common Criteria délivrées, avec 74 produits certifiés. Sur les 5 dernières années, la France est le deuxième pays ayant délivré le plus de certifications, juste derrière les Etats-Unis.
En résumé, la crédibilité d’une certification de sécurité repose sur trois critères principaux :
- La puissance cyber de la nation émettrice de la certification
- L’engagement du pays pour développer un système numérique de confiance, à travers son schéma de certification national
- L’expérience de la nation dans la certification
La France, l’une des puissances cyber les plus crédibles
La France apparaît comme l’une des puissances cyber les plus crédibles et expérimentées. D’abord, en raison des différents indices de « cyber power » et grâce à son expérience dans l’évaluation de produits informatiques.
Ainsi, les solutions certifiées par l’ANSSI bénéficient de garanties de sécurité importantes et d’une confiance accrue.
Tixeo, seule solution de visioconférence sécurisée certifiée et qualifiée par l’ANSSI
Grâce à sa technologie de chiffrement de bout en bout souveraine et son offre de visioconférence sécurisée on-premise, Tixeo est certifiée et qualifiée par l’ANSSI depuis 2017.
Avec trois certificats de sécurité de l’ANSSI reçus en 6 ans, l’entreprise marque une continuité dans son engagement pour la sécurité. Un haut niveau d’exigence cyber qui va au-delà de l’aspect purement « marketing » de la certification.
