Certification


Délivrée par l’ANSSI, la certification porte sur des produits de sécurité (matériels ou logiciels). Elle atteste de la conformité d’un produit de sécurité à un niveau de sécurité donné.

La certification de Sécurité par l’ANSSI

ANSSI Security Certification

 

La certification permet d’attester par une tierce partie indépendante et impartiale qu’un produit atteint, à un instant donné, un niveau de sécurité représenté par les services de sécurité qu’il offre et sa résistance à un niveau d’attaques donné : en France, quel que soit le type d’évaluation, la certification s’appuie systématiquement, outre des vérifications de conformité, sur des tests d’intrusion pour déterminer le niveau de sécurité réellement atteint par le produit.

 

Les objectifs de la certification

La certification permet de répondre principalement à trois types d’objectifs. Il peut s’agir d’objectifs règlementaires, tels que l’application de directives européennes ou nationales. L’objectif peut être aussi contractuel, au travers de donneurs d’ordres publics ou privés qui exigent contractuellement la certification de produits avant leur usage. Enfin des industriels ou éditeurs de logiciels peuvent souhaiter se démarquer en certifiant leurs produits (objectif commercial).

 

L’offre de services du centre de certification

Les services offerts par le centre de certification de l’ANSSI sont gratuits et ouverts à tous : le centre de certification accepte ainsi d’étudier tout besoin de sécurité des multiples donneurs d’ordres. En revanche, le centre veille à ce que le produit analysé reflète bien, dans la cohérence de sa cible de sécurité et la faisabilité de son évaluation, ces besoins exprimés.
Le centre s’appuie pour ses missions sur les experts de l’ANSSI. Le centre est aussi à l’écoute des commanditaires et donneurs d’ordres qui souhaitent créer des référentiels d’évaluation spécifiques afin de couvrir les nouveaux besoins de certification.

Le centre s’appuie sur des laboratoires d’évaluation agréés (Centre d’Evaluation de la Sécurité des Technologies de l’Information) : il vérifie leurs compétences techniques sur les différents domaines techniques pour lesquels ils sont agréés, et valide la pertinence de leurs travaux pour chaque produit évalué.

Selon les besoins de sécurité exprimés par des commanditaires d’évaluation et des donneurs d’ordres, le schéma français de certification offre deux types d’évaluation.
La Certification de Sécurité de Premier Niveau est une évaluation réalisée en temps contraint et donc sur des charges de travail fixées au préalable ; elle nécessite un investissement relativement limité, et est nettement plus orientée tests d’intrusion que conformité.

L’évaluation selon les Critères Communs permet quant à elle de certifier un produit selon des niveaux d’assurance de sécurité Evaluation Assurance Level très variés, allant de EAL1 (niveau d’attaquant faible, script kiddie) à EAL7 (niveau d’attaquant élevé), et prend également en compte la sécurité du développement.

 

Reconnaissance des certificats

Les certificats émis par l’ANSSI et basés sur les Critères Communs peuvent bénéficier d’une reconnaissance internationale. Cependant le centre émet également des certificats qui ne font pas l’objet d’une telle reconnaissance, selon la demande des commanditaires.

Le CCRA (Common Criteria Recognition Agreement) est signé par 25 membres. Il permet essentiellement la reconnaissance au niveau EAL2 (niveau d’attaquant basique).
Le SOG-IS est un accord européen regroupant actuellement 10 membres. Il permet la reconnaissance des certificats jusqu’à EAL4, voire pour certains domaines techniques particuliers jusqu’à EAL7.

La différence de reconnaissance entre ces deux accords réside dans le niveau de vérification des capacités techniques des centres de certification y participant. En effet, le SOG-IS adjoint aux exigences des audits du CCRA des vérifications nettement plus poussées sur les moyens associés aux missions des centres de certification, mais aussi sur les compétences des laboratoires d’évaluations. Ainsi la portée de la reconnaissance SOG-IS permet d’apporter une confiance dans les résultats de ses membres bien plus élevée que celle établie dans le cadre du CCRA.

 

Pour en savoir plus sur la certification et les produits certifiés :
www.ssi.gouv.fr/entreprise/produits-certifies/