Guillaume POUPARD,
Directeur général de l’agence nationale de la sécurité
des systèmes d’information (ANSSI)
En janvier 2018, l’ANSSI dévoilait son offre de solutions de sécurité sous une approche et une appellation nouvelles : le Visa de sécurité. Le 21 juin, elle réunissait à Paris ce qu’il convient désormais d’appeler « une communauté » de grandes entreprises, de start-up, d’investisseurs, d’utilisateurs et de prescripteurs. Lors de cette cérémonie en présence du Secrétaire d’Etat chargé du Numérique M. Mounir MAHJOUBI, près de 150 fournisseurs de solutions de sécurité se sont vus remettre les premiers Visas de sécurité. Mais avant d’en arriver là, un long chemin a été parcouru et il reste encore beaucoup à faire. Un appel à manifestation d’intérêt est ouvert jusqu’en février 2019 pour recueillir les recommandations d’acteurs souhaitant se positionner sur la certification de sécurité de niveaux substantiel et élémentaire.
LE CHOIX D’UNE SOLUTION : UN ACTE TROP SOUVENT SOUS-ESTIME
Une des préoccupations de l’ANSSI est le « faux sentiment » de sécurité que procure parfois le choix d’une solution inefficace, inadaptée, voire même portant directement atteinte à la sécurité des systèmes qu’elle est censée protéger. Une décision malheureuse prise trop souvent sous la pression des délais, des contraintes budgétaires ou en cédant aux sirènes des promesses « de la solution miracle ». J’en suis conscient, il est tentant de « pédaler léger » avec des décisions rapides au rythme du développement imposé par la croissance et la transformation numérique de son organisation. Mais quand l’irréparable se produit et que la fiabilité des solutions choisies est remise en cause, comment convaincre sa direction générale ou sa DSI de maintenir ses investissements dans la sécurité numérique ?
En tout état de cause et qu’il s’agisse d’un produit ou d’un service, l’acquisition d’une solution de sécurité ne peut se passer d’une analyse objective de son besoin en la matière. Objectifs de sécurité, obligations réglementaires, maturité de l’organisation, etc. Tant d’aspects et de critères qu’il convient d’étudier sereinement avant de se tourner vers les offreurs.
Mais le travail ne s’arrête pas là : encore faut-il se repérer dans une offre pléthorique et parfois difficilement lisible. Face aux enjeux, c’est à l’autorité publique d’aider les utilisateurs à se repérer et les solutions fiables à se distinguer. A cette fin, nous avons conçu la démarche des Visas de sécurité pour aider les utilisateurs à s’orienter vers des solutions qui ont fait leurs preuves.
DES RESPONSABILITÉS ET DES ATTENTES
En engageant cette démarche, l’ANSSI valorise les activités de qualification et de certification qui conditionnent l’attribution du Visa de sécurité en leur donnant une meilleure lisibilité et visibilité. Puisque la sécurité numérique se place désormais au rang de priorité stratégique et que le sujet mobilise au-delà d’un cénacle d’experts, à nous – autorités, industriels, prescripteurs, etc. – d’adapter notre approche à ce nouvel échiquier.
À ce titre, nous avons tenu à rappeler et saluer l’engagement des fournisseurs de produits et prestataires de services qui jouent le jeu ô combien exigeant de la qualification et de la certification. Mais c’est justement de cette exigence que la démarche tire toute sa valeur et c’est pourquoi il est essentiel de donner aux entreprises détentrices d’un Visa au titre d’une solution donnée les moyens de faire de celui-ci un atout concurrentiel fort.
Lorsque les acteurs et les mécanismes à l’œuvre sont clairement décrits, faire s’exprimer d’une seule et même voix les représentants de tout un écosystème devient possible. Si cela permet non seulement d’apporter transparence, visibilité et lisibilité à l’offre de solutions de sécurité, je suis également persuadé que, pour l’organisation qui mène cette réflexion stratégique, voir la communauté s’organiser porte un message extrêmement rassurant.
J’irais même plus loin en disant qu’il nous faut dès maintenant nous tourner davantage vers le citoyen. De plus en plus conscient du risque numérique et attentif aux moyens mis en œuvre pour sécuriser ses données, il influe lui aussi sur l’amélioration de l’offre existante et l’émergence de solutions innovantes.
CERTIFICATION EUROPÉENNE : UN MESSAGE FORT POUR LA FRANCE ET SES PARTENAIRES
Autre signal fort pour la France et qui nous incite à poursuivre dans cette voie, les attentes de l’UE vis-à-vis de la mise en place d’un cadre de certification européen. Le 13 septembre 2017, la Commission européenne a publié une proposition de règlement allant dans ce sens : le Cybersecurity Act, qui prévoit la création d’un cadre européen de certification de cybersécurité dont l’objectif est double : renforcer la sécurité du numérique au sein du marché intérieur européen en encourageant un large recours à la certification et lutter contre la fragmentation en créant un véritable marché unique des produits, services et systèmes numériques au sein de l’UE.
Ce cadre, l’Europe le souhaite efficace et suffisamment souple pour répondre à l’ensemble des besoins, de l’objet connecté à quelques euros aux systèmes d’information essentiels. L’objectif étant qu’in fine, un certificat issu d’un pays membre de l’UE soit reconnu dans les 27 autres. Et pour ne pas abaisser le niveau d’exigence que j’ai à cœur de souligner, j’insiste sur l’importance de nous engager dans cette démarche et de tirer parti des vingt années d’expérience de pays comme l’Allemagne et la France.
Ces nouveaux schémas viendraient prolonger les dispositifs actuellement opérés par l’ANSSI, notamment pour certifier des prestataires de services ou des produits soumis à des exigences de sécurité plus faibles.
L’ANSSI s’est fortement investie dans ces négociations aux côtés d’industriels français et d’homologues européens avec qui elle partage un dessein proche, afin de faire émerger un accord ambitieux, bénéficiant du savoir-faire et de l’expertise française en la matière.
Plusieurs acteurs privés ou institutionnels sont appelés à se positionner sur ces nouveaux segments. Face à ces évolutions inévitables, il convient que l’ANSSI accompagne la mise en place cohérente et ordonnée de ces nouvelles pratiques, et fasse évoluer au besoin le cadre de son activité.
À cette fin, l’agence a souhaité engager le dialogue avec les acteurs de la certification tels que définis par le Cybersecurity Act afin de s’inscrire de plain-pied dans ces nouvelles dispositions.
Comment ? Sous la forme d’un appel à manifestation d’intérêt ouvert de septembre 2018 à février 2019. À cela s’ajoutent d’autres actions visant à promouvoir à l’échelle européenne les schémas de qualification de prestataires auprès d’instances de normalisation ou dans le cadre de groupes de travail car là aussi, la France dispose d’une expérience longue, éprouvée et qui rassemble un nombre croissant d’acteurs.
Les Visas de sécurité sont le fruit d’une démarche de valorisation des activités de qualification et de certification engagée par l’ANSSI en 2017. Ils permettent d’identifier facilement les solutions de sécurité les plus fiables et reconnues comme telles à l’issue d’une évaluation menée par des laboratoires agréés. Ce Visa se matérialise, selon le contexte et le besoin, par une certification ou une qualification qui procure au fournisseur un avantage concurrentiel certain.
Pour en savoir plus, rendez-vous sur www.ssi.gouv.fr/visa-de-securite/ et consultez :
- Le catalogue des solutions qualifiées
- Le film pédagogique Visa de sécurité
- La brochure qualification
- La brochure certification
L’ANSSI lance un appel à manifestation d’intérêt pour recueillir les recommandations d’acteurs qui souhaitent se positionner sur la certification de sécurité de niveaux substantiel et élémentaire et l’opérer en France.
L’objectif est d’abord d’identifier ces acteurs puis de recueillir leurs recommandations en matière de :
- conditions de notification par une autorité nationale ;
- conditions de rattachement à plusieurs autorités nationales ;
- d’opportunités de développement international ;
- d’identification des activités d’évaluation pertinentes à mener ;
- compétences attendues pour les tests d’évaluation ;
- protection des activités liées à l’évaluation et à la certification ;
- d’harmonisation des méthodes et pratiques d’analyse de risques, d’évaluation et de certification ;
- ou encore d’accompagnement de la montée en puissance des acteurs.
Pour en savoir plus, rendez-vous sur www.ssi.gouv.fr/actualites/.
