Blog

Visas de sécurité de l’ANSSI : comment s’y retrouver ?

Auteur : Arnaud Dufournet, Chief Marketing Officer

Les solutions de cybersécurité ne se valent pas toutes en termes d’efficacité et de confiance. C’est pour distinguer les solutions les plus robustes que l’ANSSI les évalue et délivre chaque année des visas de sécurité. En 2021, l’agence en a délivré 255. Pour autant, il n’est pas toujours facile de s’y retrouver et certains vont même jusqu’à dire que les visas ne simplifient pas forcément le processus de décision.

L’augmentation des vulnérabilités

Les organisations déploient en moyenne plusieurs dizaines de solutions de cybersécurité pour protéger leurs réseaux et systèmes d’information. Dans le même temps, le nombre de vulnérabilités détectées ne cessent d’augmenter. Tout le monde a encore en mémoire Log4shell, la vulnérabilité qui a fait trembler les RSSI en décembre 2021. Le nombre de nouveaux identifiants CVE répertoriés par MITRE pourrait être jusqu’à 35 % plus élevé que celui de l’année 2021 selon un rapport (2022 Telemetry Report) publié par Trustwave SpiderLabs.

Les logiciels VPN ne sont pas épargnés par les vulnérabilités. Trois VPN SSL figuraient déjà dans le top 10 des vulnérabilités 2020, un classement selon la sévérité établi tous les ans par l’ANSSI. Publié en février dernier, le top 10 2021 compte à nouveau un VPN dont une vulnérabilité permettait aux attaquants de modifier certains fichiers pour installer des portes dérobées et effacer leurs traces. Les injections de commandes et les RCE (Remote Code Execution) persistantes sont les types de vulnérabilités les plus courantes répertoriées dans le CVE.

Pour un éditeur de logiciels, faire réaliser une évaluation de son produit par un laboratoire agréé en vue d’obtenir un visa de sécurité de l’ANSSI est un bon moyen pour se démarquer et apporter aux utilisateurs des gages de qualité.

Comprendre les visas de sécurité que délivre l’ANSSI

La première chose essentielle à savoir est que l’ANSSI délivre deux types de visas : les certifications et les qualifications. Ces visas ont pour vocation « d’identifier facilement les solutions de cybersécurité les plus fiables et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée ».

La certification atteste de la robustesse d’un produit qui a été soumis à une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI. Il existe deux schémas de certification : la certification Critères Communs (CC) et la certification de sécurité de premier niveau (CSPN). La certification CC est un standard internationalement reconnu grâce à des accords de reconnaissance multilatéraux. Les Critères Communs se décomposent en sept niveaux d’assurance dans la sécurité du produit. Le premier niveau appelé EAL1 correspond à des tests fonctionnels et de résistance à un attaquant de niveau élémentaire. Le dernier niveau appelée EAL7 consiste en une vérification formelle de la conception de la solution ainsi qu’un test de résistance à un attaquant de niveau élevé. A noter que le niveau d’assurance peut également être augmenté en ajoutant des tâches d’évaluation supplémentaires. Dans ce cas, un « + » sera ajouté au niveau comme par exemple EAL4+. Pour proposer une alternative aux évaluation CC qui peuvent prendre jusqu’à 18 mois, l’ANSSI a mis en place une CSPN. Moins exhaustive, elle met l’accent sur l’analyse du produit et consiste en des tests effectués en temps et charge contraints (25 à 35 jours/homme).

Enfin, il faut savoir qu’une certification n’est valable que pour une version donnée d’un produit. La certification peut être étendue à des évolutions mineures du produit dans le cadre d’une  maintenance de certificat, mais toute évolution majeure du produit implique sa réévaluation.

Deuxième type de visa : la qualification. Il s’agit d’une recommandation par l’État français de produits ou de services de cybersécurité éprouvés et approuvés par l’ANSSI. Ce visa atteste de la conformité de la solution aux exigences réglementaires, techniques et de sécurité promues par l’ANSSI. L’évaluation porte ici sur la robustesse du produit attestée par une certification, la compétence du prestataire de service et l’engagement du fournisseur de solutions à respecter des critères de confiance. Elle n’est accordée que pour une durée maximale de deux à trois ans selon le cadre règlementaire. Enfin, trois niveaux de qualification sont proposés : niveau élémentaire, niveau standard, niveau renforcé.

Autre subtilité : il est possible de demander à l’ANSSI un agrément avec la qualification. Lorsqu’un système d’information gère des données sensibles, les dispositifs de sécurité qui le protègent doivent recevoir un agrément de l’ANSSI. Les différents agréments dépendent de la typologie et du niveau de sensibilité des informations. Par exemple, pour les SI du secteur de la Défense, il y a l’agrément DR (Diffusion Restreinte) ou l’agrément SD (Secret Défense). L’agrément OTAN concerne lui les systèmes d’information interalliés et l’agrément UE les systèmes d’information des institutions communautaires.

A quels besoins correspondent les visas ?

La principale question à se poser est : votre organisation est-elle contrainte par des réglementations de type RGS (Référentiel Général de Sécurité), LPM (Loi de Programmation Militaire) ou NIS (Network and Information Security) ? Si la réponse est positive, il faut vous tourner vers une solution de cybersécurité qualifiée par l’ANSSI (voir le cas d’usage Diffusion Restreinte). Si votre système d’information manipule des données sensibles, alors c’est une solution qualifiée disposant en plus d’un agrément qui est requise.

Si, en revanche, votre organisation n’est pas concernée par les réglementations citées plus haut mais vous souhaitez disposer de solutions robustes, en particulier pour être conforme au RGPD, pour élever le niveau de sécurité de votre SI, vous pouvez alors vous tourner vers les solutions certifiées.

Pour le cas où vous auriez des filiales à l’étranger, il est intéressant de savoir que le standard Critère Commun est reconnu dans un certain nombre de pays.

Ainsi, la certification CC est reconnue par 13 pays européens (dont nos voisins l’Allemagne, le Royaume-Uni, l’Italie et l’Espagne) qui ont signé l’accord de reconnaissance mutuelle (accord SOG-IS). L’accord Common Criteria Recognition Arrangement (CCRA) permet quant à lui des reconnaissances mutuelles avec d’autres Etats non européens comme les Etats-Unis, le Canada, l’Inde, Israël … 

La démarche de certification de TheGreenBow

Depuis plus de vingt années, TheGreenBow aide ses clients à résoudre des problèmes de confidentialité, de souveraineté et de sécurité au plus haut niveau. C’est la raison pour laquelle la certification et la qualification de nos produits par l’ANSSI sont totalement intégrées dans notre stratégie de développement. En 2013, TheGreenBow est le premier fournisseur européen de logiciels VPN à avoir obtenu la certification Critères Communs EAL3+ ainsi que l’agrément Diffusion Restreinte OTAN et UE pour son Client VPN Windows. TheGreenBow a également obtenu d’autres visas pour ses clients Windows et Linux. Enfin, une nouvelle version du client VPN Windows suit actuellement un processus de qualification auprès de l’ANSSI.

Un niveau constant d’exigence s’applique au développement de tous nos logiciels et pas seulement aux versions destinées à obtenir un visa de sécurité. C’est pour leur robustesse et leur fiabilité que de nombreux OIV font confiance aux clients VPN TheGreenBow, parmi lesquels Dassault Aviation ou encore le Ministère de l’Intérieur.

Pour en savoir plus sur nos clients VPN, rendez-vous dans notre boutique en ligne ici.

Vous pouvez également les tester gratuitement pendant 30 jours, en vous rendant sur cette page de notre site web.

Inscrivez-vous à notre newsletter