Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

L'ANSSI désormais armée pour labelliser la sécurité

Label et la quête
Droit 3 min
L'ANSSI désormais armée pour labelliser la sécurité
Crédits : Marc Rees (CC-BY-2.0)

En janvier dernier, Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, avait prévenu de la publication prochaine des textes d’application de la loi de programmation militaire. Une étape importante a été franchie ce week-end, avec la diffusion au Journal officiel du décret relatif à « la qualification  des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. »

L’enjeu de ce décret est d’identifier, parmi les prestataires et éditeurs disponibles sur le marché de la sécurité, ceux qui peuvent être qualifiés de « confiance ». « Notre objectif n’est pas de faire un classement, mais de dire qu’au nom du premier ministre, on s’engage sur la confiance dans la qualité de leurs travaux », prévenait Guillaume Poupart, lors du dernier Forum international de la cybersécurité à Lille. « Avoir les plus beaux PowerPoint n’est pas forcément un gage de sécurité ! »

Ce label de confiance n’a pas seulement de précieuses vertus commerciales, puisque ces éditeurs et prestataires écrémés seront aussi imposés aux opérateurs d’infrastructures vitales, c’est-à-dire ceux « dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Sont visés ici les centrales nucléaires, les opérateurs télécom, de santé, de transports, etc., en tout 250 acteurs définis à l’article L.1332-1 du Code de la défense, et sur la sécurité desquels l’ANSSI veille.

Une labellisation orchestrée par l’ANSSI, épaulée par des centres agréés

Le décret publié hier au Journal officiel décrit donc dans le détail le processus de labellisation « des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. »

Pour résumer, les demandes seront adressées à l’ANSSI, qui aura précédemment défini une série de critères sur son site. L’éditeur devra du coup répondre à un lot d’objectifs, de fonctionnalités tout en prenant soin de fournir l’intégralité du code source « sans restriction ». Son dossier complet, il se rapprochera d’un centre d’évaluation agréé, lequel pourra être épaulé par l’ANSSI dans les cas très pointus. L'audit se soldera par un rapport permettant à l’Agence de labelliser (ou non).

Le texte organise tout autant l’agrément des centres d’évaluation eux-mêmes. Une procédure qui passe par l’audit des compétences du personnel, des moyens déployés, des ressources, mais aussi de son « activité passée », etc.

Une profonde enquête administrative préalable

Les prétendants doivent évidemment être en mesure de respecter les prescriptions relatives au secret de la défense nationale (information classifiée) puisqu’ils seront susceptibles de se voir confier des données très sensibles.

Surtout, ils feront également l’objet d'enquêtes administratives préalables, celles « destinées à vérifier que le comportement des personnes physiques ou morales intéressées n'est pas incompatible avec l'exercice des fonctions ou des missions envisagées » (L114-1).

Cette contrainte autorisera l’État à déployer largement toute l’attention de ses services, histoire de déceler d’éventuels mauvais canards, voire des chevaux de Troie : possibilité de consulter les fichiers de procédures judiciaires qui les concerneraient, de vérifier leur entourage, leurs activités publiques, tous les agissements « susceptibles de recevoir une qualification pénale », et même de scruter leurs comportements et déplacements (article R236-12 du Code de la défense).

23 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 30/03/15 à 08:47:36

Haaaa. GPG doit être dedans, de toute évidence vu la râlerie d'INterpol de ces derniers jours :D

Avatar de wanou Abonné
Avatar de wanouwanou- 30/03/15 à 09:04:34

La liste des logiciels labélisés sera-t-elle rendue publique?

Avatar de tmtisfree Abonné
Avatar de tmtisfreetmtisfree- 30/03/15 à 09:10:46

Office et son pare-feu sont déjà pré-labellisés, selon un communiqué du ministère. Mais SGDG, comme d'habitude.

Avatar de trou Abonné
Avatar de troutrou- 30/03/15 à 09:20:28
Avatar de nday Abonné
Avatar de ndaynday- 30/03/15 à 09:33:49

Le sous-titre ! :bravo: :neuf:

Avatar de lmarecha INpactien
Avatar de lmarechalmarecha- 30/03/15 à 09:46:25

c'est bien, il vont pouvoir aider l'hadopi a etablire la liste des solutions de securisations qu iest attendue depuis.... heu combien d'annees deja...

Avatar de Ricard INpactien
Avatar de RicardRicard- 30/03/15 à 09:49:01

trou a écrit :

Elle l'est déjà :http://www.ssi.gouv.fr/administration/produits-certifies/

Heu... elle est où ta liste ?

Avatar de Ricard INpactien
Avatar de RicardRicard- 30/03/15 à 09:49:54

 

nday a écrit :

Le sous-titre ! :bravo: :neuf:

Qué quête ? :keskidit:

Avatar de wanou Abonné
Avatar de wanouwanou- 30/03/15 à 09:49:57

Merci pour l'info.

Avatar de secouss Abonné
Avatar de secousssecouss- 30/03/15 à 09:53:47

J'adore : 

 tout en prenant soin de fournir l’intégralité du code source « sans restriction »
 Tant qu'à pas se casser le choux à le récupérer illégalement. C'est ça le choc de simplification :D on vole plus, vous nous l'apportez sur clé usb 3.0 s'il vous plait ^^

Il n'est plus possible de commenter cette actualité.
Page 1 / 3