La Certification : un gage de qualité ?
Culture tech.
Comment s’assurer de la qualité d’un logiciel de chiffrement ?
D’une manière générale, et pas seulement en informatique, l’utilisateur est en droit d’exiger le meilleur de la qualité. Dans notre univers hyper-concurrentiel, celle-ci n’est pas souvent garantie. La certification est alors le moyen de prouver officiellement le niveau de qualité promis. En matière de chiffrement, il en est de même : avant de confier ses données à une solution de chiffrement de données, il est recommandé de s’assurer qu’elle est testée et approuvée par les autorités officielles.
Certification des logiciels de chiffrement, de quoi parle-t-on ?
Qu’est-ce que la certification ?
La certification est la preuve de la robustesse d’un produit ou d’un service, sous la forme d’une attestation émise par un organisme officiel et indépendant du fournisseur du produit ou du service.
En matière de chiffrement des données, elle se base sur une analyse de conformité des méthodes et procédures, sur un audit complet des mesures de sécurité de l’entreprise, ainsi que sur des tests de résistance (tests de pénétration, exploration de vulnérabilités éventuelles, etc.).
En pratique, le candidat à la certification se soumet à une étude de conformité de :
- son organisation ;
- ses procédures ;
- son logiciel.
La grille de mesures utilisée pour cette étude est bâtie sur un référentiel approuvé par les pouvoirs publics, et mise à jour en fonction des évolutions technologiques.
Qui émet le certificat ?
En France, l’ensemble du processus de certification des logiciels de chiffrement est géré par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) au travers de son Centre de Certification National. L’ANSSI est un organisme indépendant du marché, sous l’égide directe de l’Etat.
Des laboratoires privés peuvent cependant intervenir dans le processus : ils sont eux-mêmes certifiés par l’État pour cela.
Certification et chiffrement : un long process
La certification, processus lourd et coûteux, implique rigueur et impartialité des auditeurs mobilisés.
Qui plus est, une certification obtenue n’est valable qu’un temps donné, en général 5 ans : une vérification des mises à jour doit être faite régulièrement pour conserver son niveau de certification.
A quoi sert la certification ?
Côté utilisateur : un gage de confiance
La certification tierce partie apporte à un utilisateur classique une confirmation indépendante et impartiale qu’un logiciel de chiffrement répond à un cahier des charges ou à des spécifications techniques publiées. C’est la certitude d’opérer à un niveau de sécurité éprouvé et résistant à toutes les attaques d’un certain niveau.
Dans le cas d’un utilisateur classifié OIV (Organisme d’Importance Vitale), des degrés de sécurité plus élevés sont exigés, et la certification est alors obligatoire. Il doit pouvoir accorder une confiance absolue à la solution qu’il met en œuvre.
La cybersécurité des OIV s’intègre dans un dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV), inscrit dans le code de la défense.
Pour faire face aux nouvelles menaces cyber, l’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013) ajoute une pierre à l’édifice en imposant aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV).
La France est le premier pays à utiliser la réglementation pour mettre en place un dispositif efficace et obligatoire de cybersécurité de ces infrastructures critiques.
Côté producteur de logiciels : un avantage concurrentiel
Pour le développeur de solutions de chiffrement, être certifié donne accès aux marchés de la cybersécurité en France et à l’international. Même si les appels d’offres ne l’exigent pas encore systématiquement, c’est un avantage concurrentiel irremplaçable.
Les certifications de sécurité des solutions sont entretenues, repassées pour les différentes versions et les différentes plateformes afin de suivre l’évolution des technologies, de l’état de l’art en cryptographie, et des menaces.
Les solutions de chiffrement se soumettent également à des contre-évaluations nationales, transnationales, ou spécifiques à un marché donné.
Quels niveaux de certification attendre – ou atteindre ?
Selon les besoins, il y existe plusieurs niveaux de certification :
- La Certification de Sécurité de Premier Niveau (CSPN) mise en place par l’ANSSI en 2008, consiste en des tests en « boîte noire » effectués en temps et délais contraints. Cette certification s’appuie sur des critères, une méthodologie et un processus élaborés par l’ANSSI. Il représente le plus bas niveau et confère un “Visa de Sécurité”.
Il peut être suffisant dans certains cas, mais reste une qualification élémentaire.
- La certification dite « Critères Communs » est la certification de plus haut niveau et s’assure de la conformité d’un produit à un cahier des charges ou à une spécification technique. Le certificat atteste, au jour de sa signature, de la conformité d’un produit ou d’un système aux exigences énumérées dans sa cible de sécurité. Ce certificat n’est valide que pour la version identifiée du produit. Pour prolonger dans le temps cette confiance, le centre de certification propose des procédures de surveillance et de continuité de certification.
Il permet d’atteindre le plus haut niveau pour un produit : le niveau de qualification standard, basé sur le référentiel « Evaluation Assurance Level ». EAL et EAL3+ garantissent que le produit est testé et vérifié méthodiquement.
EAL4+ est réservé aux matériels tangibles.
D’autres agréments encore plus spécifiques (UE, OTAN) peuvent être attribués sous l’autorité de ces institutions.
Le choix d’un logiciel de chiffrement certifié
La seule source officielle de certificats de sécurité étant l’ANSSI, c’est sur leur site que l’on va trouver la liste exhaustive de tous les produits et logiciels certifiés.
Selon les catégories, le choix d’un logiciel peut sembler limité ; cela est dû à la rigueur et la complexité du processus de certification « critères communs ».
Les méthodes et moyens de protection des données sont variés, mais le chiffrement des échanges et des données reste une technologie incontournable. Encore faut-il utiliser un système de chiffrement qui ait reçu l’approbation et la certification de sécurité de l’État.
Bon à savoir
L’ANSSI édite en libre accès de nombreux guides pour optimiser la sécurité de tous les systèmes. Vous pourrez notamment y retrouver les guides pour une utilisation de ZED! et CRYHOD.