Accueil Visa de sécurité : un projet collectif

Visa de sécurité : un projet collectif

Par Guillaume Poupard,
Directeur général de l’Agence nationale
de la sécurité des systèmes d’information
(ANSSI)

 

Le 4 juin 2019, le Cyberfestival organisé par l’ANSSI a accueilli la deuxième cérémonie de remise du Visa de sécurité. Cet événement a permis de mettre à l’honneur les nouveaux fournisseurs de solutions de sécurité (produits et services) ayant obtenu une certification ou une qualification, ainsi qu’un nouveau centre d’évaluation. Les Visas de sécurité ANSSI concernent aujourd’hui plus de 100 entreprises.

 

Je me réjouis de voir cette communauté s’agrandir, notamment au moment où l’ANSSI entre dans sa dixième année. Une année symbolique qui nous invite à réfléchir ensemble à la manière dont l’ANSSI peut se rapprocher plus encore de son écosystème pour relever ensemble les défis à venir et renforcer notre efficacité collective.

Les nouveaux horizons du Visa de sécurité

L’ANSSI a délivré son Visa de sécurité à de nouveaux services en 2019. Le début d’année a été l’occasion de qualifier le premier prestataire d’informatique en nuage (SecNumCloud), ouvrant de nouvelles perspectives pour les entités publiques et privées qui souhaitent externaliser l’hébergement de leurs données auprès de prestataires de confiance. La famille du Visa de sécurité s’est également diversifiée avec l’entrée des premiers prestataires de détection d’incidents de sécurité et des fournisseurs de systèmes de détection. Une avancée notable pour les entités concernées, qui facilite leur mise en conformité avec la loi de programmation militaire. Je rappelle par ailleurs que les Visas de sécurité ne s’adressent pas aux seuls administrations et OIV. Ils couvrent en effet les besoins de toute entreprise soucieuse d’élever significativement le niveau de sécurité de son système d’information en se tournant vers des solutions éprouvées dont la fiabilité est reconnue.

Mais nos efforts ne s’arrêtent pas là

Nous travaillons par exemple au renforcement de la sécurité des environnements industriels et des contrôles d’accès physiques, au profit notamment des opérateurs d’importance vitale (OIV). Des travaux de préparation et d’évaluation sont par ailleurs engagés pour qualifier les premiers prestataires de réponse aux incidents de sécurité. Ils sont un pilier de la sécurité globale des SI et viennent compléter l’activité des prestataires de détection d’incidents de sécurité.

Enfin, nous profitons de l’édition 2019 du mois européen de la cybersécurité, sous la bannière française « Cybermoi/s », pour lancer un appel à commentaires sur la V1.0 d’un nouveau référentiel portant sur les prestataires d’administration et de maintenance sécurisés. Ce référentiel s’adressera aux opérateurs dont les activités apparaissent comme particulièrement critiques. Il portera sur l’externalisation des opérations de maintenance et d’administration pour les SI d’entreprises ainsi que les systèmes industriels.

L’écriture de ce référentiel s’est faite en collaboration avec un panel d’entreprises concernées : prestataires, commanditaires et centres d’évaluation. Un appel à candidatures pour participer à la phase expérimentale démarre également, avec pour objectif de débuter ces évaluations au second trimestre 2020.

La concrétisation de la certification européenne

L’adoption définitive du Cybersecurity Act marque un tournant dans l’harmonisation des méthodes d’évaluation de solutions au niveau européen. Cette reconnaissance mutuelle au sein de l’ensemble de l’Union européenne contribuera à renforcer la sécurité du marché unique européen.

L’ANSSI a contribué significativement aux négociations entourant ce règlement. Ella a par ailleurs initié des travaux internes pour accomplir la mission d’Autorité nationale de certification de cybersécurité (ANCC). En effet, le règlement définit des processus de certification et une gouvernance pour l’adoption de schémas couvrant plusieurs niveaux d’assurance : élémentaire, substantiel et élevé. Pour l’ANSSI, les schémas prioritaires sont ceux qui ont été éprouvés au niveau national et avec certains de nos partenaires. Ils concernent les Critères Communs, la sécurité des systèmes industriels et l’informatique en nuage.

L’objectif pour l’Agence est de conserver le niveau de sécurité atteint par le Visa de sécurité dans une logique de continuité avec les certifications actuellement délivrées. Cela permettrait l’émergence de nouveaux schémas correspondant à des besoins de sécurité plus faibles.

Il nous faut également prendre en compte les nouveaux enjeux introduits par le Cybersecurity Act, notamment en termes de surveillance harmonisée des certifications.

L’ANSSI continuera d’innover sur ces schémas. Elle fera la promotion de la certification de sécurité de premier niveau et de sa reconnaissance auprès des partenaires européens.

La co-construction du paysage cyber

Je souhaite que se renforce le dialogue entre l’ANSSI et les acteurs étatiques en matière de politique industrielle. Cela passe nécessairement par un resserrement des liens avec les mondes de la recherche et industriel. C’est le sens du projet de création du « cyber campus » – une mission confiée par le Premier ministre à Michel Van Den Berghe – qui permettra à terme de contribuer à la structuration de l’écosystème français de cybersécurité.

Ces efforts sont nécessaires pour renforcer nos positions sur la certification européenne et agir ensemble pour l’attractivité de la filière, le recrutement de nouveaux talents, le soutien à la recherche ou encore l’accès aux solutions détentrices d’un Visa de sécurité. L’Agence prendra pleinement sa part d’engagement dans cette nouvelle filière et ce campus.

 


Le Visa de sécurité ANSSI, c’est :

  • 174 Visas de sécurité remis en 2018
  • Plus de 80 acteurs détenteurs d’une qualification
  • Près de 100 certifications délivrées chaque année
  • 14 centres d’évaluation/CESTI agréés

Pour en savoir plus sur le Visa de sécurité,

rendez-vous sur www.ssi.gouv.fr/visa-de-securite/ et consultez :

  • le catalogue des solutions qualifiées ;
  • le film pédagogique Visa de sécurité ;
  • la brochure qualification ;
  • la brochure certification.