La certification de sécurité pour les produits et solutions numériques est un gage de fiabilité. En quoi consiste cette certification et comment garantit-elle un haut niveau de cybersécurité ?
Définition d’une certification de sécurité
La certification de sécurité pour les solutions et logiciels informatiques consiste à évaluer un produit selon des normes de cybersécurité spécifiques. Ce processus est aujourd’hui crucial pour garantir la protection des données et des systèmes face à une recrudescence des cybermenaces. La certification de sécurité participe également à l’accompagnement des entreprises à la recherche de solutions numériques sécurisées pour leurs usages stratégiques et sensibles. Elle permet enfin d’harmoniser les niveaux de sécurité des solutions et de participer à la création d’un système numérique de confiance.
Types de certifications de sécurité :
Certifications de Produit : Elles se concentrent sur les aspects de sécurité d’un produit spécifique. Ces certifications évaluent si le produit répond aux normes de sécurité requises et peut résister à des attaques cybernétiques potentielles.
Certifications de Système : Elles évaluent la sécurité d’un système entier, incluant les produits, les processus et les personnes impliquées. Ce type de certification est plus large et prend en compte les aspects systémiques de la cybersécurité.
Il existe différentes certifications de sécurité à l’international et en Europe. Voici un aperçu :
Les certifications de cybersécurité internationales
Common Criteria (CC)
Common Criteria est le standard international de certification de cybersécurité des technologies de l’information. Aussi appelée « Common Criteria for Information Technology Security Evaluation », cette norme internationale (ISO/IEC 15408) permet d’évaluer la sécurité de produits IT par des laboratoires agréés et indépendants, selon des critères techniques et organisationnels exigeants. Les certificats sont reconnus sur le plan international par les signataires de l’Accord de Reconnaissance des Critères Communs (CCRA) dont fait partie l’ANSSI en France.
FIPS 140-3
Développée par le National Institute of Standards and Technology (NIST) aux États-Unis, la norme FIPS 140-3 concerne particulièrement la vérification de la sécurité des modules de chiffrement. Essentielle pour les produits utilisés dans des environnements gouvernementaux et sensibles, la norme analyse notamment :
- les fonctionnalités et les capacités du module de chiffrement
- les interactions avec d’autres systèmes
- La gestion des accès et des opérations autorisées
- la sécurité des composants logiciels
- la maintenance et les mises à jour sécurisées
- les mesures contre diverses formes d’attaques potentielles.
Cette norme propose quatre niveaux qualitatifs de sécurité (basiques à très élevés), adaptés à différentes applications et environnements IT.
Les certifications de cybersécurité européennes
Le projet European Cybersecurity Certification
Le premier schéma européen de certification EUCC se base sur le schéma international Common Criteria pour la certification des produits TIC, leurs matériels et logiciels (pare-feux, dispositifs de chiffrement et de signature électronique, routeurs, smartphones, cartes bancaires…). En octobre 2023, un premier projet d’acte d’exécution de l’EUCC a été publié par la Commission Européenne et ouvert aux avis. Le 31 janvier2024, le schéma est adopté à l’échelle de l’UE et harmonise les règles et les procédures de certifications en Europe.
EUCS (European Certification Scheme for Cloud Services) à l’étude
Dans la même optique que l’EUCC, la certification EUCS vise particulièrement à approuver la sécurité de produits et services hébergés dans le cloud. La proposition de texte est désormais à l’étude du Groupe européen de certification de cybersécurité (ECCG) et permettra de renforcer la sécurité du cloud computing en Europe.
Dans le cadre de la directive NIS 2 et du Cyber Resilience Act, ces projets de certifications européennes visent à harmoniser les niveaux de sécurité des solutions IT.
En France : le visa de sécurité de l’ANSSI
La certification de sécurité délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) fait référence en France et aussi en Europe. Elle évalue la robustesse d’une version spécifique d’un produit à un instant donné, en fonction de l’état de l’art des cyberattaques. Pour la délivrer, les laboratoires et experts agréés vont analyser plusieurs critères de sécurité, comme :
- La conformité aux standards et réglementations nationales et internationales de sécurité des systèmes d’information en vigueur (comme celui du Common Criteria)
- Les mesures de sécurité techniques et organisationnelles
- La résistance aux Attaques, y compris les tentatives d’intrusion, de piratage et d’exploitation de vulnérabilités.
- La gestion des accès et l’authentification afin de contrôler l’accès aux données et aux ressources.
- Le chiffrement et la protection des données
- La résilience et la gestion des incidents
- Les maintenances et mises à jour de sécurité, afin de répondre aux nouvelles menaces et vulnérabilités
Par ailleurs, l’ANSSI propose également une qualification de sécurité aux produits et services numériques destinés aux secteurs critiques et stratégiques (OIV et OSE). Celle-ci va ainsi répondre à des exigences réglementaires spécifiques, comme la Loi de programmation militaire notamment. La qualification de sécurité l’ANSSI atteste ainsi de l’adéquation entre les solutions et les besoins sensibles identifiés des entreprises. L’éditeur doit ainsi prouver qu’il pourra respecter ses engagements sur le long terme.
Comment évaluer la crédibilité d’une certification de sécurité ?
À quels produits s’adressent les certifications de sécurité ?
De nombreux produits et solutions informatiques peuvent prétendre à une certification de sécurité. Et ce, dès lors qu’ils exposent des données et/ou sont utilisés par des organisations sensibles. Voici quelques types de produits concernés par les certifications de sécurité :
- Matériel Informatique : serveurs, routeurs, pare-feu, et autres équipements réseau…
- Logiciels : systèmes d’exploitation, applications et les bases de données…
- Solutions Cloud : Services de cloud computing, stockage et applications basées sur le cloud…
- Produits de chiffrement : Modules de chiffrement, outils de gestion des clés…
- Solutions de Sécurité Mobile : Applications et infrastructures de sécurité pour appareils mobiles…
- Systèmes de Contrôle Industriel (ICS) et Internet des Objets (IoT) : dispositifs connectés dans divers secteurs industriels…
Tixeo, certifié et qualifié par l’ANSSI depuis plus de 6 ans
La technologie de visioconférence sécurisée Tixeo est certifiée et qualifiée par l’ANSSI depuis plus de 6 ans. Grâce à son chiffrement de bout en bout et sa version on-premise, il offre aux entreprises dans des secteurs critiques une totale confidentialité pour leurs échanges. Indispensable pour renforcer leur capacité de résilience opérationnelle numérique. À travers sa certification et sa qualification, l’Etat français recommande son utilisation pour des usages sensibles. D’autres labels européens confirment la sécurité de sa solution.