S’y retrouver dans les évaluations de cybersécurité

En 2021, la cybersécurité ne peut plus être une affaire de spécialistes. Pourtant, lorsqu’elles veulent sécuriser leurs systèmes d’information, entreprises et organisations publiques ne savent pas toujours vers qui se tourner. « Quand on doit acheter un produit de sécurité, s’il n’y a pas de label pour attester de sa qualité, on se retrouve uniquement face au discours commercial sans preuve tangible », remarque Martin Moreau lors du petit-déjeuner de l’Observatoire du FIC du 20 mai 2021, intitulé « Acheteurs et utilisateurs de solutions de cybersécurité : pourquoi choisir des produits certifiés ? ».

Ce dernier sait de quoi il parle : il est analyste chez Amossys, l’un des quelques Centres français d’évaluation de la sécurité des technologies de l’information (Cesti), organismes agréés par l’Agence nationale de sécurité des systèmes d’information (Anssi) pour évaluer les produits de sécurité. Et délivrer ainsi des « labels » de deux ordres : la certification et la qualification. Des gages de confiance validées par l’agence française de cybersécurité, qui peuvent éclairer le choix des entreprises dans leurs achats. Problème : une grande confusion règne autour de ces derniers, les acheteurs ne sachant pas toujours ce qu’ils signifient et comment les différencier les uns des autres… Faisons le point.

Pour éviter toute confusion, Philippe Loudenot, délégué cybersécurité au sein du conseil régional des Pays de la Loire et administrateur du Cesin, club de décideurs dédié à la cybersécurité, refuse, lui, de parler de « labels » pour la certification et la qualification, un terme trop marketing à son goût. « Ce n’est pas un label car il ne s’agit pas de faire un chèque pour obtenir une certification », abonde Yves Gheeraert, directeur France, Benelux et Europe du Sud de Blancco, éditeur français de solutions d’effacement de données.

La certification est une évaluation ponctuelle, la qualification s’inscrit dans la durée

La certification et la qualification sont plutôt des tampons décernés par l’Anssi. La certification est une évaluation ponctuelle opérée par un Cesti pour l’Anssi, elle permet d’attester du niveau de sécurité de tout ou partie d’un produit à un instant donné, dans une version spécifique et dans un environnement précis. La qualification, elle, est « un gage de qualité supplémentaire », ajoute Martin Moreau. Elle impose au Cesti d’effectuer davantage de tests (audits de différentes sortes, recherche de failles, pentesting… ). « Beaucoup plus tournée vers la sécurité dans le temps », complète Michel Benedittini, directeur général adjoint de l’Anssi, la qualification vaut recommandation de l’Anssi pour un produit.

En France, il existe deux grands types de certifications : les critères communs, standards d’évaluation de cybersécurité internationaux, antérieurs à la création de l’Anssi, et la certification sécurité de premier niveau (CSPN), créée en 2009 par l’Anssi pour proposer une certification moins lourde et coûteuse que les critères communs.

Pour cette dernière, le processus se déroule en six étapes :

1. La rédaction d’une cible de sécurité, où figurent la version du produit – logiciel ou matériel –, les fonctions que l’on souhaite évaluer et l’environnement d’utilisation du produit. Ce document est rédigé par le demandeur et est validé par un Cesti.
2. L’envoi de ce document par le Cesti vers le Centre de certification national (CCN), qui dépend de l’Anssi.
3. La validation de la cible de sécurité par l’Anssi.
4. La procédure d’évaluation par le Cesti.
5. L’envoi du rapport du Cesti à l’Anssi.
6. Des discussions entre le Cesti et l’Anssi, qui établissent ensemble la validité de la certification.

La cible de sécurité, clef d’une certification réussie

« C’est un processus très rigoureux : ce n’est pas parce que vous entamez une procédure de certification ou de qualification que vous allez l’obtenir », insiste Yves Gheeraert. La clé, selon l’ensemble du panel de ce petit-déjeuner de l’Observatoire du FIC, c’est la rédaction de al cible de sécurité. Philippe Loudenot évoque l’exemple de deux solutions françaises de pare-feu certifiés CSPN mais dont « l’un est certifié pour le périmètre complet du produit alors que l’autre ne l’est que pour quelques fonctions – ce qui fait une grande différence ». Aujourd’hui, certains Cesti, comme Amossys, proposent également des services de conseils pour accompagner les acheteurs dans cette première étape ardue.

Malheureusement, l’accès à la certification – et a fortiori à la qualification – reste une procédure trop coûteuse et laborieuse pour certaines start-ups et quelques petits éditeurs de cybersécurité. « Il nous manque une frange intermédiaire de confiance que l’on peut apporter dans un dispositif numérique, avec un processus simplifié, moins cher, mais une sécurité garantie », regrette Philippe Loudenot.

Sans compter que la confusion relative aux divers processus d’évaluation n’a pas été levée par la créations des Visas de sécurité de l’Anssi, censés regrouper sous un même vocable produits certifiés CSPN ( mais pas critères communs – et qualifiés. Bien au contraire, « cela a encore compliqué les choses » en ajoutant un nouveau terme, déplore encore Philippe Loudenot. Mais c’est aujourd’hui au niveau européen que la simplification se joue : l’Agence européenne (Enisa), l’Anssi, la BSI allemande et quelques autres, travaillent notamment à créer un cadre commun pour les certifications CSPN et équivalentes, par exemple. Et l’administrateur du Cesin de conclure avec une proposition pour clarifier encore plus les choses au niveau français : « On pourrait établir un nombre de points en fonctions de l’évaluation, avec, par exemple, 750 pour une certification critères communs, 800 points pour une qualification standard, 1 000 points pour une qualification renforcée… » A bon entendeur.