Equipages

Article Labels & certifications ANSSI, comment s'y retrouver ?

CC, EAL, CSPN, certification ANSSI : comment s’y retrouver ?

Dans le milieu de la cybersécurité, les labels et certifications se multiplient. Avant de pouvoir s’appuyer dessus pour identifier la solution sécurisée adaptée à son entreprise, encore faut-il pouvoir les comprendre ! Alors, quelles sont les différences entre les certifications EAL, ANSSI et CSPN ?

I. Les différences certifications

Les Critères Communs (EAL)

La certification Common Criteria (CC) est une certification reconnue à l’international qui indique jusqu’à quel niveau d’attaque la résistance du produit a été évaluée. Le système EAL, lui, est utilisée pour évaluer le niveau de sécurité d’un produit ou d’un système informatique (par exemple un firewall, une application ou un système d’exploitation). Il comporte 7 niveaux d’évaluation, allant de EAL1 à EAL7. Chaque niveau d’évaluation correspond à un ensemble de critères de sécurité évalués lors de l’examen de la solution. Le niveau EAL1 correspond à une évaluation informelle, basée sur une analyse documentaire du produit ou du système. Les niveaux supérieurs exigent des tests de sécurité plus poussés, des audits techniques et des examens de conception.

Pour faire simple, en plus de valider les exigences de tous les niveaux antérieurs, un produit certifié :

  • EAL1 indique la documentation décrit le produit et ses fonctionnalités de manière cohérente.
  • EAL2 indique le produit fonctionne conformément à la documentation.
  • EAL3 signifie que le produit est conçu pour résister à des attaques courantes.
  • EAL4 signifie que le produit est conçu pour résister à des attaques avancées.
  • EAL5 signifie que le produit est conçu pour résister à des attaques sophistiquées. Sa conception est basé sur des preuves formelles de sécurité (évaluation semi-formelle).
  • EAL6 signifie que le produit est conçu pour résister à des attaques sophistiquées. Sa conception est basée sur des preuves formelles de sécurité (évaluation formelle).
  • EAL7 signifie que le produit est conçu pour résister à des attaques très sophistiquées.

Les produits certifiés CC/EAL peuvent être retrouvés ici.

La Certification de Sécurité de Premier Niveau (CSPN)

Les niveaux EAL sont reconnus internationalement pour établir le niveau de confiance qu’on peut accorder à un produit de sécurité. Cependant, ils sont chers et longs à obtenir. L’ANSSI a donc créé en 2008 la CSPN, Certification de Sécurité de Premier Niveau. Cette certification est une solution suffisante quand le niveau de confiance visé n’est pas élevé. La CSPN consiste en des tests en “boîte noire” effectués en temps et délais contraints par un centre d’évaluation (CESTI) agréé par l’ANSSI. Elle est pour l’instant uniquement valable en France, mais l’ANSSI travaille à sa reconnaissance sur le plan européen.

Les solutions certifiés CSPN peuvent être retrouvés ici.

II. Du côté de l’ANSSI

Les reconnaissances européennes et internationales

La France est signataire de l’accord européen de reconnaissance mutuelle du SOG-IS de 2010 ainsi que l’Arrangement de reconnaissance mutuelle selon les Critères communs (CCRA). Ces accords de reconnaissance mutuelle permettent aux produits et aux systèmes de sécurité évalués et certifiés dans l’un de ces pays de bénéficier d’une reconnaissance automatique de l’ANSSI en France. De même, les produits et les systèmes de sécurité évalués et certifiés par l’ANSSI peuvent être reconnus automatiquement par les organismes de réglementation dans ces pays, sans avoir à passer par des processus d’évaluation supplémentaires.

Visa de sécurité de l'ANSSI

Toutes les solutions reconnues par l’ANSSI sont identifiables par le Visa de Sécurité. Toutefois, elles n’ont pas toutes le même niveau d’efficacité, de robustesse et de confiance.

En effet, lors de la certification, l’éditeur d’une solution va définir une “cible de sécurité”. Cette cible de sécurité défini les fonctions de sécurité qui sont évaluées et leur contexte d’utilisation. Cette cible de sécurité n’est pas toujours validée par l’ANSSI. C’est pourquoi l’ANSSI a défini un niveau d’évaluation supplémentaire : la qualification.

Qu’est-ce que la qualification ANSSI ?

Pour obtenir la qualification de l’ANSSI, une solution doit tout d’abord avoir obtenu une certification de niveau suffisant, avec une cible de sécurité validée par l’ANSSI. L’ANSSI réalise ensuite des analyses supplémentaires, dont un audit du code source du produit évalué. Il existe 3 niveaux de qualification :

  • Élémentaire : certifié à minima CSPN, la solution doit résister à un attaquant disposant de compétences techniques basiques et de ressources limitées.
  • Standard : certifié à minima CC EAL3+, la solution doit résister à un attaquant disposant de compétences techniques avancées et de ressources importantes.
  • Renforcé : certifié à minima CC EAL4+, la solution doit résister à un attaquant disposant de compétences techniques sophistiquées et de ressources illimitées ainsi que d’un soutien étatique et/ou de groupes criminels.

Les solutions qualifiées par l’ANSSI peuvent être retrouvés ici.

III. Mais alors, comment choisir ?

L’ANSSI a créé un schéma décisionnel pour aider les entreprises à choisir des solutions de sécurité ayant obtenu ce fameux Visa de Sécurité. Toutefois, le Visa de Sécurité n’implique pas automatiquement que la solution sera adaptée à votre entreprise. De même, une solution qualifiée n’est pas forcément plus efficace qu’une solution “juste” certifiée ou pas certifiée du tout.

En effet, les certifications sont une garantie de la robustesse d’une versions logicielle ou matérielle spécifique (qui peut d’ailleurs dater de plusieurs années et ne plus être vendue ou supportée), et la cible de sécurité peut ne pas convenir à vos besoins de sécurisation. Se faire certifier et/ou qualifier est un processus long et coûteux que tous les éditeurs de solutions n’engagent donc pas forcément. Et pour finir, la qualification ANSSI est encore méconnue des grands éditeurs internationaux.

Alors comment faire ? Vous pouvez commencer par identifier les solutions dont les fonctionnalités correspondent vraiment à vos besoins de sécurisation, puis d’utiliser le Visa de Sécurité comme l’un des critères de votre choix. Vous n’êtes pas sûrs d’avoir l’expertise technique nécessaire pour identifier les bonnes solutions ? Prenez contact pour en discuter avec nos experts !