Il y a peu, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) tenait une conférence en ligne pour parler du développement de son Visa de sécurité, de ses programmes de certification et de celui qui est en train de se mettre en place en Europe avec l’ENISA… et qui remplacera SecNumCloud à terme.
Comme l’ont rappelé les intervenants, définir un cadre européen harmonisé de certification (aussi bien pour des produits que des services) est une course de longue haleine. Elle implique de nombreux acteurs : « fournisseurs, prestataires, laboratoires, organismes de certification accrédités, mais aussi autorités nationales, qui garantissent la cohérence de la mise en œuvre des schémas », ajoute l’ANSSI.
Sur le vieux continent, c’est l’Agence Européenne pour la Cybersécurité (ENISA) qui s’en charge. Elle « travaille sur trois schémas de certification de la cybersécurité [Critères Communs, cloud et 5G, ndlr], qui constituent les éléments de base d’un cadre de certification de la cybersécurité harmonisé au niveau européen, tel que défini dans le Cybersecurity Act », explique Eric Vetillard, expert en certification à l’ENISA.
Vers un certificat de cybersécurité européen, avec trois niveaux
Cet expert impliqué dans l’European Cybersecurity Certification Scheme for Cloud Services (EUCS) explique que chaque schéma dispose de « trois niveaux d’assurance : basique, substantiel et élevé ». Il détaille leur principe de fonctionnement.
Pour commencer, le palier basique « correspond à un niveau d’entrée destiné aux entreprises qui ne sont pas familières avec la certification. Il démontre une intention dans la mesure où l’audit est principalement documentaire, destiné à vérifier que des procédures appropriées ont été mises en place ».
Le niveau d’assurance n’est donc pas très élevé, mais Éric Vetillard le défend : il n’est « pas si faible que certains voudraient le faire croire, car il garantit que le fournisseur de service a entamé une vraie réflexion sur la sécurité de ses systèmes et a mis en place des mesures sur tous les contrôles ». Pour avoir davantage de concret, il faudra passer au deuxième ou troisième niveau.
On monte donc d’un cran avec le niveau substantiel qui est « au cœur du schéma EUCS […], qui présente un profil de risque moyen et on s’attend à ce qu’il représente la majorité des certificats », affirme Eric Vetillard. « Pour le cloud, nous nous sommes inspirés pour ce niveau des critères allemands C5, avec quelques ajouts venant d’autres schémas et standards ».
Le niveau élevé se base sur SecNumCloud de l’ANSSI
Enfin, « le niveau élevé est destiné à des applications plus sensibles comme des applications gouvernementales ou traitants de données personnelles particulièrement sensibles ». « Ce niveau est conçu pour des services devant résister à des attaquants confirmés avec des moyens significatifs », explique l’expert. « Il inclut en particulier des éléments du schéma français SecNumCloud, ainsi que des obligations d’automatisation plus poussées », ajoute-t-il.
Pour le même expert européen, « ce n’est pas si simple de répartir en trois niveaux, d’assurer une cohérence et une continuité entre ces niveaux ». Il a néanmoins le sentiment de la mission accomplie avec les trois paliers dont il est question aujourd’hui.
C’est ensuite au tour de Guillaume Poupard, directeur général de l’ANSSI, de prendre la parole. Il se dit « ravi de voir cette européanisation » des certifications de sécurité, et confirme – absolument sans aucune surprise – que c’est bien son Agence qui va « être désignée autorité nationale de certification de cybersécurité ».
Pour le directeur général, « on a un vrai jeu à jouer en commun en Europe », avec « la volonté de faire mieux que ce qu’on faisait à l’échelle nationale ». Il confirme que « SecNumCloud va être intégré dans la démarche européenne »… sans préciser ce qu’il en sera du cloud de confiance, qui s’appuie lui aussi sur la certification de l’ANSSI.
- Cloud de confiance : le jour d'après
- Cloud de confiance : derrière le vernis souverain, le pied dans la porte des Américains
Le certificat européen prendra le pas sur SecNumCloud
Guillaume Poupard indique d’ailleurs que le référentiel SecNumCloud va « être renforcé pour porter une confiance globale dans les solutions, à la fois du point de vue technique et opérationnel comme c’est déjà le cas, mais également pour clarifier des choses sur la sécurité juridique des offres de cloud […] Vérifier notamment l’immunité des solutions à des droits qui ne seraient pas européens ». C’est pour rappel un des piliers du cloud de confiance.
Le directeur général de l’ANSSI espère « qu’assez rapidement on basculera sur une démarche européenne ». Il ajoute que, comme on pouvait également s’en douter, la certification européenne prendra alors le pas sur celles nationales, « car si on garde les deux tout cela devient totalement illisible ».
Il confirme ce scénario, pour ceux qui auraient encore des doutes : « L’idée c’est bien d’effacer SecNumCloud le jour où on aura un schéma d’évaluation de niveau élevé pour les services de cloud », à l’échelle européenne. « Je ne doute pas du fait que ça va bien se passer », ajoute-t-il.
Voici les référentiels PAMS et PACS pour les prestataires
David Passani, de la division assistance technique de l’ANSSI, est ensuite intervenu pour présenter deux nouveaux référentiels en cours d’élaboration par l’Agence : PAMS pour Prestataires d'Administration et de Maintenance Sécurisées, et PACS pour Prestataires d’Accompagnement et de Conseil en Sécurité des systèmes d’information.
Les entreprises souhaitant sécuriser leurs systèmes informatiques peuvent faire appel à des prestataires si elles ne disposent pas des compétences en interne, mais encore faut-il avoir confiance dans ce tiers qui va notamment « avoir accès aux secrets de l’entreprise ». Si le référentiel PACS vise principalement à protéger votre système d’information, PAMS est davantage axée sur l’infogérance, mais ils partagent un but commun : « élever le niveau global des prestataires en France ».
Dans le cas de PAMS, l’ANSSI est « en plein milieu des expérimentations ». David Passani indique que, « début 2022, on aura une mise à jour du référentiel et ensuite on va pouvoir lancer les premières qualifications réelles et pas expérimentales ». Il espère que les premiers qualifiés seront dévoilés en octobre de l’année prochaine, à temps pour la grand-messe annuelle de l’ANSSI (Assises de la cybersécurité). La version 1.0 du référentiel d’exigences a pour rappel déjà été mise en ligne en avril dernier.
Pour PACS, la situation est différente : « aujourd’hui on est au tout début de la phase d’expérimentation, elle n’a pas encore commencé puisqu’on est en train de sélectionner les entreprises candidates ». Une fois les choix faits (ce n’est qu’une question de semaines), l’ANSSI espère débuter les expérimentations début septembre.
Visas ANSSI 2020 : 114 certifications et 132 qualifications
Lors de sa conférence virtuelle, l’Agence a dévoilé les chiffres 2020 de ses Visas de sécurité lancés en 2018. Ils permettent pour rappel « d’identifier facilement les [solutions de cybersécurité] les plus fiables […] et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée ».
Il y a deux sous-domaines : la certification et la qualification. « La certification est l’attestation du niveau de robustesse d’un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI ».
De son côté, « la qualification est la recommandation par l’État français de produits ou services de cybersécurité éprouvés et approuvés par l’ANSSI. Elle atteste de leur conformité aux exigences règlementaires, techniques et de sécurité promue par l’ANSSI en apportant une garantie de robustesse du produit et de compétence du prestataire de service, et d’engagement du fournisseur de solutions à respecter des critères de confiance ».
En 2020, 114 produits ont été certifiés et 132 qualifiés par l’Agence nationale de la sécurité des systèmes d’information. « Le nombre de produits et services ayant obtenu un Visa de sécurité a augmenté de 21 % » par rapport à 2019, ce qui réjouit visiblement l’ANSSI. Des guides et catalogues sur les Visas de sécurité de l’ANSSI sont disponibles par ici.
Bref, toute cette agitation fait dire à l’Agence que « l’écosystème cyber français et européen est en pleine expansion ». Puisque les attaques, demandes de rançons et autres fuites de données ne cessent de se multiplier, c’est une bonne chose.
Comme le rappelait récemment le cryptographe David Pointcheval, « un jour ou l'autre on sera attaqué », ce n’est qu’une question de temps. Une déclaration à mettre en parallèle avec celle de Gildas Avoine, professeur à l'INSA, qui rappelait qu’on peut prouver « que la sécurité parfaite n'existe pas ».
Commentaires (0)