Certification ANSSI : quels avantages pour votre cybersécurité ?

Rédigé par LockSelf | 21 juin 2024

Alors que de nouvelles solutions de cybersécurité émergent régulièrement sur le marché, il peut être compliqué au premier abord d’évaluer leur niveau de sécurité. C’est pourquoi l’ANSSI a mis en place plusieurs certifications spécifiques, visant à garantir les outils les plus efficaces, répondant aux normes de sécurité les plus élevées. Mais quels sont les différents visas de cybersécurité délivrés par l’ANSSI et à qui s’adressent-ils ? Découvrez tout ce qu’il faut savoir sur les certifications ANSSI et leurs avantages.

Qu'est-ce que l'ANSSI

Missions et objectifs de l'ANSSI

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) est une agence gouvernementale française chargée de protéger les systèmes d'information des citoyens et des entreprises contre les cyberattaques. Elle est placée sous l'autorité du Premier ministre et est rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN).

Les principales missions de l'ANSSI¹ sont les suivantes :

Protéger les systèmes d'information des administrations et des opérateurs d'importance vitale (OIV) : ces entités gèrent des infrastructures essentielles au bon fonctionnement de la société, et leur protection est une priorité pour garantir la continuité des services publics et privés.
Lutter contre la cybercriminalité : en collaborant avec les forces de l'ordre et d'autres organismes nationaux et internationaux, l'ANSSI contribue à la détection, à la prévention et à la répression des actes de cybermalveillance.
Sensibiliser et former le public aux enjeux cyber : l'ANSSI développe des programmes de formation et des campagnes de sensibilisation destinées aux entreprises, aux administrations et au grand public, afin d'augmenter la résilience collective face aux cybermenaces.
Promouvoir l'innovation en matière de cybersécurité : en encourageant le développement de nouvelles technologies et solutions de sécurité, l’ANSSI soutient la compétitivité de l'industrie française de la cybersécurité.
Établir et délivrer des certifications et des visas de sécurité : l'ANSSI met en place des normes de sécurité rigoureuses et attribue des certifications et des labels comme SecNumCloud, le label France Cybersecurity ou encore la certification CSPN (Certification de Sécurité de Premier Niveau). Elles garantissent un haut niveau de sécurité pour les produits et services certifiés, renforçant ainsi la confiance des utilisateurs et partenaires.

Quel est l'impact de l'ANSSI sur la cybersécurité en France ?

L'impact de l'ANSSI sur la cybersécurité en France est considérable. Depuis sa création en 2009, l'Agence a contribué à élever le niveau général de protection contre les cybermenaces au sein des entreprises et des administrations françaises. Parmi les plus importantes mesures mises en place par l’ANSSI, on compte :

La création d'un site web dédié à la cybersécurité, cyber.gouv.fr. ²
La mise en place d'un cadre juridique et réglementaire pour la cybersécurité, avec notamment la loi de 2018 relative à la protection des données personnelles.³
La création d'un centre de réponse aux incidents cybernétiques (CERT-FR)⁴
Le développement d’outils et de services pour lutter contre la cybercriminalité, comme la plateforme PHAROS.⁵

Les certifications de cybersécurité délivrées par l'ANSSI sont par ailleurs devenues des références en matière de sécurité. Délivrées par une autorité compétente après un examen rigoureux, elles garantissent le respect des normes de sécurité et de conformité les plus élevées.

Aperçu des certifications et qualifications de l'ANSSI

L’ANSSI délivre plusieurs types de visas de cybersécurité, adaptés à de nombreux secteurs d’activité :

La certification Critères Communs (CC)

La certification Critères Communs (CC) est une norme internationale qui évalue la sécurité des produits et systèmes informatiques selon des critères rigoureux. La certification CC est déclinée en sept niveaux de sécurité croissants, allant de E1 (niveau de base) à E7 (niveau le plus élevé). Un produit certifié E1 aura démontré des capacités minimales de sécurité, alors qu'un produit certifié E7 sera capable de résister à des attaques très sophistiquées, répondant aux exigences de sécurité les plus élevées. Cette certification est indispensable pour les entreprises et les gouvernements qui souhaitent garantir la fiabilité et la robustesse de leurs solutions technologiques face aux cybermenaces.

La Certification de Sécurité de Premier Niveau (CSPN)⁶

La Certification de Sécurité de Premier Niveau (CSPN) évalue elle aussi la sécurité des produits et systèmes informatiques. Contrairement à la certification Critères Communs, la CSPN est une labellisation française élaborée par l’ANSSI elle-même. Elle s'adresse notamment aux PME, ETI et aux acteurs du secteur public qui ont besoin d'une évaluation de sécurité fiable. La CSPN permet en effet une évaluation plus rapide et moins coûteuse tout en garantissant un niveau de sécurité élevé pour de nombreuses applications. Cette certification mise en place par l’ANSSI en 2008 se base notamment sur des tests “en boîte noire” effectués en temps et délais contraints. C’est aujourd’hui l’une des certifications les plus respectées au niveau de la cybersécurité en France.

La CSPN bénéficie d’un accord de reconnaissance mutuelle des certificats de sécurité avec le BSZ (Beschleunigte Sicherheitszertifizierung), son équivalent Allemand proposé par la BSI (Bundesamt für Sicherheit in der Informationstechnik - Office fédéral de la sécurité des technologies de l'information).

L’ensemble de la suite LockSelf est notamment certifiée CSPN par l’ANSSI, attestant de la robustesse de mécanismes de chiffrement utilisés.

La Qualification SecNumCloud pour sécuriser les données sensibles

La qualification SecNumCloud⁷ atteste de la conformité d'une offre de cloud computing aux exigences de sécurité de l'ANSSI. Elle est particulièrement importante pour les organisations qui stockent ou traitent des données sensibles dans le cloud. Cette qualification garantit que les fournisseurs de services cloud respectent des normes strictes en matière de protection des données, de confidentialité et de résilience face aux cyberattaques.

Le référentiel PACS

Le référentiel PACS (Prestataires d’Accompagnement et de Conseil en Sécurité des systèmes d’information) vise à identifier les prestataires capables d'assister les organisations dans la définition et la mise en œuvre de leur stratégie de sécurité des systèmes d'information. Il couvre plusieurs domaines, comme l’homologation de sécurité, la gestion des risques, la conception d’architectures sécurisées et la préparation à la gestion de crises d’origine cyber.

Les prestataires certifiés PACS possèdent les compétences requises pour évaluer les risques, proposer des solutions adaptées et accompagner les entreprises dans la mise en place des mesures de cybersécurité nécessaires.

Le référentiel PASSI

Le référentiel PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) définit un ensemble de règles pour les prestataires souhaitant obtenir une qualification dans ce domaine. PASSI couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits.

Les prestataires qualifiés PASSI possèdent le savoir-faire nécessaire pour réaliser divers types d'audits de sécurité , tels que les audits d’architecture, de configuration, de code source, les tests d’intrusion, ainsi que les audits organisationnels et physiques. Ils sont capables d'identifier les failles de sécurité, de proposer des correctifs et de fournir des recommandations pour améliorer le niveau de sécurité des systèmes d'information audités.

La certification PRIS

La certification PRIS (Prestataire de Réponse aux Incidents de Sécurité) inclut des exigences détaillées concernant le prestataire de réponse aux incidents, son personnel ainsi que le déroulement des prestations de réponse aux incidents.

Les prestataires certifiés PRIS démontrent leur expertise dans la gestion des incidents de sécurité, avec la capacité de mener des activités comme le pilotage technique, l'analyse système, l'analyse réseau et l'analyse de codes malveillants. Ils disposent également des outils et des méthodologies nécessaires pour identifier, analyser, circonscrire et neutraliser les incidents de sécurité, tout en minimisant leurs impacts sur les organisations.

La qualification PDIS

La qualification PDIS (Prestataires de Détection d’Incidents de Sécurité) atteste de la capacité des prestataires à mettre en œuvre des solutions de détection d'incidents de sécurité respectant les critères de l’ANSSI. Les prestataires qualifiés PDIS disposent des compétences requises pour configurer, administrer et maintenir des systèmes de détection d'intrusion (IDS) et de détection de fuites de données (DLP), permettant d'identifier les incidents de sécurité en temps réel.

La certification PVID

La certification PVID (Prestataires de Vérification d’Identité à Distance) définit des exigences spécifiques pour les prestataires offrant des services de vérification d’identité à distance. Elle vise à établir une offre de services robuste répondant aux besoins de confiance des utilisateurs, des commanditaires et des régulateurs. Ce référentiel certifie que les prestataires respectent des mesures efficaces de réduction de la fraude, avec des niveaux de garantie élevés.

Les prestataires certifiés PVID démontrent leur capacité à fournir des certificats électroniques et à garantir l'authentification sécurisée des utilisateurs lors de transactions en ligne.

La qualification MIE

La certification MIE (Moyens d’Identification Électronique) atteste que les moyens d'identification électronique sont conformes aux exigences de sécurité définies par l'ANSSI. Les moyens d'identification électronique qualifiés MIE sont des solutions fiables et sécurisées qui garantissent l'identité des utilisateurs dans les environnements numériques.

Le référentiel d’exigences pour les moyens d’identification électronique précise au niveau national les spécifications techniques et les procédures minimales pour différents niveaux de garantie : faible, substantiel et élevé. Par exemple, les moyens d’identification électronique de niveau faible visent à limiter le risque d’usurpation ou d’altération de l’identité avec des identifiants / mots de passe, tandis que ceux de niveau élevé empêchent ce risque en utilisant des mécanismes comme l’authentification multifacteurs , recommandée par l’ANSSI.

La certification PAMS

La certification PAMS (Prestataires d’Administration et de Maintenance Sécurisées) identifie les prestataires compétents pour administrer et maintenir des systèmes d'information de manière sécurisée.

Les prestataires certifiés PAMS possèdent les compétences nécessaires pour appliquer les meilleures pratiques de sécurité, gérer les accès aux systèmes, et assurer la confidentialité et l'intégrité des données. Le référentiel d’exigences pour les prestataires d’administration et de maintenance sécurisées définit un ensemble de règles obligatoires pour obtenir un visa de cybersécurité dans ce domaine, incluant des critères concernant le personnel et le déroulement des prestations. Cette certification est délivrée aux prestataires pour leur capacité à assurer une administration et une maintenance sécurisées de manière globale.

Quels sont les avantages de la certification ANSSI ?

La certification ANSSI offre de nombreux avantages pour les entreprises qui cherchent à renforcer leur sécurité informatique. En voici quelques-uns :

Amélioration de la sécurité informatique

L'utilisation d'une solution certifiée par l'ANSSI assure que les mécanismes de chiffrement utilisés sont robustes, et que des tests de vulnérabilité approfondis ont été menés sur l’outil. Les solutions certifiées subissent en effet des évaluations rigoureuses pour garantir qu'elles répondent aux normes de sécurité les plus élevées. Cela garantit une meilleure protection contre les cyberattaques et les principales menaces cyber. De plus, la certification garantit que les solutions utilisées sont régulièrement mises à jour pour contrer les nouvelles vulnérabilités et menaces, offrant ainsi une protection continue et fiable.

Avantages concurrentiels sur le marché

L'utilisation de solutions certifiées par l’ANSSI confère un avantage concurrentiel significatif. Non seulement cela permet de mieux protéger l'entreprise, mais cela assure également la conformité aux normes de sécurité en vigueur. Cette conformité est souvent une exigence dans de nombreux secteurs, et l'utilisation de solutions certifiées peut faciliter l'obtention de contrats et partenariats avec d'autres entreprises. De plus, en rassurant les clients et prospects quant à la sécurité de leurs données, la confiance et la fidélité de la clientèle sont renforcées. Vous l’aurez compris, la certification ANSSI est un gage de sérieux et de professionnalisme, ce qui peut être un argument de poids lors de démarches commerciales.

Montrer patte blanche en cas d'audit

En cas d’audit, la certification ANSSI constitue une preuve tangible de l'engagement envers la sécurité informatique. Elle rassure les auditeurs en démontrant que les systèmes et solutions sont conformes aux réglementations et aux exigences de robustesse en vigueur. Cette conformité facilite grandement le processus d'audit, réduisant les risques de non-conformité et les pénalités associées.

De plus, elle témoigne de la proactivité de l’organisation en matière de cybersécurité, montrant que des mesures nécessaires sont prises pour protéger les données de l'entreprise et de ses clients à l’aide de solutions certifiées CSPN notamment.

Comment obtenir la certification ANSSI ?

Les étapes clefs de la certification

Obtenir une certification de l'ANSSI est un processus rigoureux qui implique plusieurs étapes et fait intervenir des Centres d'Évaluation de la Sécurité des Technologies de l'Information (CESTI). Voici un résumé des différentes phases pour obtenir une certification de l’ANSSI :

1. Prise de contact et pré-évaluation : l'entreprise intéressée par la certification commence par prendre contact avec l'ANSSI pour discuter de son produit ou service. Une pré-évaluation peut être effectuée pour déterminer si le produit répond aux critères de base de la certification.

Dépôt du dossier de candidature : une fois la pré-évaluation réussie, l'entreprise dépose un dossier de candidature détaillé auprès de l'ANSSI. Ce dossier inclut des informations techniques, des preuves de concept, et des éléments démontrant la conformité aux normes de sécurité.
Sélection d'un CESTI : l'organisation doit ensuite sélectionner un Centre d'Évaluation de la Sécurité des Technologies de l'Information (CESTI) pour réaliser l'audit de certification. Le CESTI sélectionné réalisera des tests de sécurité approfondis et en évaluant la robustesse du produit.
Évaluation et tests de sécurité : le CESTI choisi procède à une évaluation exhaustive du produit. Cela inclut des tests de vulnérabilité, des analyses de code source, des vérifications de la conformité aux spécifications de sécurité, et des tests d'intrusion pour identifier les faiblesses.
Rapport d'évaluation : après avoir mené les tests, le CESTI rédige un rapport d'évaluation détaillé qui résume les résultats des tests, identifie les éventuelles vulnérabilités et propose des recommandations pour les corriger.
Décision de certification : sur la base du rapport d'évaluation, l'ANSSI prend une décision concernant la certification. Si le produit répond à toutes les exigences de sécurité, il obtient la certification. Dans le cas contraire, des améliorations peuvent être demandées avant de pouvoir réévaluer le produit.

Les principaux CESTI

Les Centres d'Évaluation de la Sécurité des Technologies de l'Information (CESTI) sont des entités habilitées par l'ANSSI pour réaliser les audits de certification. Ces centres possèdent une expertise approfondie en matière de cybersécurité et jouent un rôle essentiel dans le processus de certification. Parmi les principaux CESTI, on trouve :

Thales, leader mondial dans la sécurité des systèmes d'information. Son expertise couvre un large éventail de technologies et de secteurs.
Le Groupe Sopra Steria, acteur majeur de la transformation numérique, qui dispose d'un CESTI spécialisé dans l'audit et la certification des solutions de sécurité.
BT Security, filiale du groupe BT, qui propose des services de certification et d'évaluation de la sécurité, apportant son expertise pour garantir la conformité des produits aux standards de sécurité de l'ANSSI.
Evidian, filiale d'Atos, qui offre des services d'évaluation de la sécurité et de certification, avec une expertise particulière dans les solutions d'identité et de gestion des accès.
Synacktiv, certifié PASSI en 2020 et spécialisée en sécurité offensive et une présence de plus en plus forte sur le marché grâce à un travail reconnu auprès de nombreuses entreprises du CAC40.

Découvrez la liste complète des centres d’évaluation certifiés par l’ANSSI.

LockSelf : la solution française certifiée ANSSI

Chez LockSelf, nous sommes conscients des enjeux croissants liés à la protection des données et à la cybersécurité en entreprise. C'est pourquoi nous avons développé une suite de solutions logicielle robuste et fiable, certifiée CSPN par l'ANSSI, et répondant aux exigences de toutes les organisations soucieuses de la sécurité de leurs données.

Nous proposons une suite de trois solutions :

LockPass : un gestionnaire de mots de passe centralisé pour générer, stocker, partager de manière sécurisée les identifiants et mots de passe forts en entreprise.
LockFiles : un coffre-fort numérique pour stocker des fichiers sensibles en toute sécurité, avec un chiffrement de bout en bout et un contrôle strict des accès.
LockTransfer : une solution de transfert de fichiers sécurisés pour partager des fichiers volumineux en toute confiance, en interne ou en externe.

Choisir LockSelf, c'est opter pour une solution de cybersécurité française, fiable et performante, qui vous permet de :