Aller sur le site de PRIM'X primx.eu
FR

La Certification : un gage de qualitĂ© ?

Culture tech.

Comment s’assurer de la qualité d’un logiciel de chiffrement ?

D’une manière gĂ©nĂ©rale, et pas seulement en informatique, l’utilisateur est en droit d’exiger le meilleur de la qualitĂ©. Dans notre univers hyper-concurrentiel, celle-ci n’est pas souvent garantie. La certification est alors le moyen de prouver officiellement le niveau de qualitĂ© promis. En matière de chiffrement, il en est de mĂŞme : avant de confier ses donnĂ©es Ă  une solution de chiffrement de donnĂ©es, il est recommandĂ© de s’assurer qu’elle est testĂ©e et approuvĂ©e par les autoritĂ©s officielles.

Certification des logiciels de chiffrement, de quoi parle-t-on ?

Qu’est-ce que la certification ?

La certification est la preuve de la robustesse d’un produit ou d’un service, sous la forme d’une attestation Ă©mise par un organisme officiel et indĂ©pendant du fournisseur du produit ou du service. 

En matière de chiffrement des donnĂ©es, elle se base sur une analyse de conformitĂ© des mĂ©thodes et procĂ©dures, sur un audit complet des mesures de sĂ©curitĂ© de l’entreprise, ainsi que sur des tests de rĂ©sistance (tests de pĂ©nĂ©tration, exploration de vulnĂ©rabilitĂ©s Ă©ventuelles, etc.).

En pratique, le candidat Ă  la certification se soumet Ă  une Ă©tude de conformitĂ© de :

  • son organisation ;
  • ses procĂ©dures ;
  • son logiciel. 

La grille de mesures utilisée pour cette étude est bâtie sur un référentiel approuvé par les pouvoirs publics, et mise à jour en fonction des évolutions technologiques.

Qui Ă©met le certificat ?

En France, l’ensemble du processus de certification des logiciels de chiffrement est gĂ©rĂ© par l’ANSSI (Agence Nationale de SĂ©curitĂ© des Systèmes d’Information) au travers de son Centre de Certification National. L’ANSSI est un organisme indĂ©pendant du marchĂ©, sous l’égide directe de l’Etat. 

Des laboratoires privĂ©s peuvent cependant intervenir dans le processus : ils sont eux-mĂŞmes certifiĂ©s par l’État pour cela.

Certification et chiffrement : un long process

La certification, processus lourd et coûteux, implique rigueur et impartialité des auditeurs mobilisés.
Qui plus est, une certification obtenue n’est valable qu’un temps donnĂ©, en gĂ©nĂ©ral 5 ans : une vĂ©rification des mises Ă  jour doit ĂŞtre faite rĂ©gulièrement pour conserver son niveau de certification.

A quoi sert la certification ?

CĂ´tĂ© utilisateur : un gage de confiance

La certification tierce partie apporte Ă  un utilisateur classique une confirmation indĂ©pendante et impartiale qu’un logiciel de chiffrement rĂ©pond Ă  un cahier des charges ou Ă  des spĂ©cifications techniques publiĂ©es. C’est la certitude d’opĂ©rer Ă  un niveau de sĂ©curitĂ© Ă©prouvĂ© et rĂ©sistant Ă  toutes les attaques d’un certain niveau.

Dans le cas d’un utilisateur classifiĂ© OIV (Organisme d’Importance Vitale), des degrĂ©s de sĂ©curitĂ© plus Ă©levĂ©s sont exigĂ©s, et la certification est alors obligatoire. Il doit pouvoir accorder une confiance absolue Ă  la solution qu’il met en Ĺ“uvre.

La cybersécurité des OIV s’intègre dans un dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV), inscrit dans le code de la défense.

Pour faire face aux nouvelles menaces cyber, l’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 dĂ©cembre 2013) ajoute une pierre Ă  l’édifice en imposant aux OIV le renforcement de la sĂ©curitĂ© des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV).

La France est le premier pays à utiliser la réglementation pour mettre en place un dispositif efficace et obligatoire de cybersécurité de ces infrastructures critiques.

CĂ´tĂ© producteur de logiciels : un avantage concurrentiel

Pour le dĂ©veloppeur de solutions de chiffrement, ĂŞtre certifiĂ© donne accès aux marchĂ©s de la cybersĂ©curitĂ© en France et Ă  l’international. MĂŞme si les appels d’offres ne l’exigent pas encore systĂ©matiquement, c’est un avantage concurrentiel irremplaçable. 

Les certifications de sécurité des solutions sont entretenues, repassées pour les différentes versions et les différentes plateformes afin de suivre l’évolution des technologies, de l’état de l’art en cryptographie, et des menaces.

Les solutions de chiffrement se soumettent également à des contre-évaluations nationales, transnationales, ou spécifiques à un marché donné.

Quels niveaux de certification attendre – ou atteindre ?

Selon les besoins, il y existe plusieurs niveaux de certification :

  • La Certification de SĂ©curitĂ© de Premier Niveau (CSPN) mise en place par l’ANSSI en 2008, consiste en des tests en « boĂ®te noire » effectuĂ©s en temps et dĂ©lais contraints. Cette certification s’appuie sur des critères, une mĂ©thodologie et un processus Ă©laborĂ©s par l’ANSSI. Il reprĂ©sente le plus bas niveau et confère un “Visa de SĂ©curité”.
    Il peut être suffisant dans certains cas, mais reste une qualification élémentaire.
  • La certification dite « Critères Communs » est la certification de plus haut niveau et s’assure de la conformitĂ© d’un produit Ă  un cahier des charges ou Ă  une spĂ©cification technique. Le certificat atteste, au jour de sa signature, de la conformitĂ© d’un produit ou d’un système aux exigences Ă©numĂ©rĂ©es dans sa cible de sĂ©curitĂ©. Ce certificat n’est valide que pour la version identifiĂ©e du produit. Pour prolonger dans le temps cette confiance, le centre de certification propose des procĂ©dures de surveillance et de continuitĂ© de certification.
    Il permet d’atteindre le plus haut niveau pour un produit : le niveau de qualification standard, basĂ© sur le rĂ©fĂ©rentiel « Evaluation Assurance Level ». EAL et EAL3+ garantissent que le produit est testĂ© et vĂ©rifiĂ© mĂ©thodiquement.

EAL4+ est réservé aux matériels tangibles.

D’autres agrĂ©ments encore plus spĂ©cifiques (UE, OTAN) peuvent ĂŞtre attribuĂ©s sous l’autoritĂ© de ces institutions.

Le choix d’un logiciel de chiffrement certifié

La seule source officielle de certificats de sĂ©curitĂ© Ă©tant l’ANSSI, c’est sur leur site que l’on va trouver la liste exhaustive de tous les produits et logiciels certifiĂ©s

Selon les catĂ©gories, le choix d’un logiciel peut sembler limitĂ© ; cela est dĂ» Ă  la rigueur et la complexitĂ© du processus de certification « critères communs ».

Les mĂ©thodes et moyens de protection des donnĂ©es sont variĂ©s, mais le chiffrement des Ă©changes et des donnĂ©es reste une technologie incontournable. Encore faut-il utiliser un système de chiffrement qui ait reçu l’approbation et la certification de sĂ©curitĂ© de l’État.

Bon Ă  savoir

L’ANSSI Ă©dite en libre accès de nombreux guides pour optimiser la sĂ©curitĂ© de tous les systèmes. Vous pourrez notamment y retrouver les guides pour une utilisation de ZED! et CRYHOD.

Demandez une dĂ©mo !

Si vous êtes sensibles à la protection des données, nous vous proposons de découvrir nos logiciels de chiffrement. Notre équipe est là pour vous faire une démonstration de nos différentes solutions de chiffrement de données.

Prendre RDV pour une démo

ABC du chiffrement

Données chiffrées, données protégées !

Le chiffrement s’inscrit dans la boîte à outils des solutions de cyber sécurité pour protéger les données dans n’importe quel cas de figure : vol, perte, fuite de données... Passons…

En savoir plus

Idées & initiatives

Certification et qualification : la cybersécurité garantie pour tous

À l’heure où la plupart des secteurs d’activité sont en hyper concurrence, où certaines entreprises seraient capables de tout pour recruter de nouveaux talents, où les technologies avancent et s’entremêlent…

En savoir plus