Evolutions concernant les processus de certification de sécurité
Conscient de l’évolution rapide et constante des menaces, le centre de certification national au sein de l’ANSSI propose maintenant un processus permettant de garantir, de manière continue, la sécurité des produits certifiés selon les Critères Communs.
La mise en place de ce processus s’inscrit tant dans l’intérêt des bénéficiaires, qui ont l’assurance de choisir des solutions robustes dans le temps, que dans celui des offreurs, qui peuvent désormais démontrer leur capacité à maintenir un bon niveau de sécurité.
Par défaut, la date de validité des certificats Critères Communs est de 5 ans, mais la surveillance permettra son extension lorsque les résultats du processus y seront favorables. Dans le cas contraire, les certificats sont archivés et restent accessibles sur le site web de l’ANSSI, à partir de la liste des produits certifiés Critères Communs.
Cette action du centre de certification national permet d’assurer la cohérence avec les dispositions prises par le SOG-IS et le Cybersecurity Act, dont les mesures visent également à maintenir le niveau de sécurité des produits en prenant en compte les évolutions de la menace et des techniques d’attaques.
Afin de s’assurer de la cohérence de cette démarche vis-à-vis de son autre processus de certification, l’ANSSI envisage d’étendre cette approche aux certificats CSPN (certification de sécurité de premier niveau – schéma national) qui pourraient faire l’objet d’un archivage 3 ans après leur délivrance.