L’ANSSI et son homologue allemand, le BSI (Federal Office for Information Security), renouvellent leur accord de reconnaissance mutuelle des certifications de sécurité CSPN et BSZ.
En vigueur depuis mars 2022, l’accord permet à la France de reconnaître les certifications allemandes BSZ (Beschleunigte Sicherheitszertifizierung), tandis que l’Allemagne reconnaît les certifications françaises CSPN (Certification de Sécurité de Premier Niveau). Un logo commun de reconnaissance mutuelle, déployé depuis août 2024, permet d’identifier des certificats reconnus dans les deux pays et à faciliter leur vérification.
La principale évolution du texte concerne le traitement des vulnérabilités découvertes pendant l’évaluation d’un produit.
Une certification moins figée
L’accord a été modifié afin de permettre à un produit ayant fait l’objet d’une détection de vulnérabilité pendant son évaluation de revenir plus facilement dans le processus de certification après correction. Une vulnérabilité découverte tardivement pendant une évaluation pouvait ainsi entraîner un blocage long, coûteux et parfois dissuasif pour les industriels.
Avec cette modification, l’ANSSI et le BSI introduisent une logique plus compatible avec les pratiques actuelles du développement logiciel et du correctif continu.
Une approche appelée à s’étendre
Les deux agences réaffirment également leur soutien au développement du schéma européen FiT CEM (« Fast Evaluation based on a Time constrained Evaluation Methodology »), pensé pour accélérer les évaluations de sécurité tout en conservant un niveau d’assurance suffisant.
L’ANSSI et le BSI indiquent vouloir, à terme, étendre les conditions de leur accord de reconnaissance mutuelle au-delà du seul axe franco-allemand.
Des exceptions toujours possibles
L’accord conserve toutefois une marge d’appréciation nationale. Conformément à son article 3, l’ANSSI ou le BSI peuvent exclure certains produits du mécanisme de reconnaissance mutuelle lorsque certaines exigences de sécurité appliquées pendant l’évaluation ne sont pas partagées par les deux autorités. Ces exceptions sont recensées dans une note d’application dédiée intitulée « Exemptions from Recognition ».
Les deux agences publient également une note d’application commune, « ST Template: minimum requirements », qui propose un socle minimal de cible de sécurité pour les évaluations CSPN et BSZ.
