La Certification ANSSI “critères communs”, gage de sérénité
Interview d'experts
Une solution de sécurité informatique se doit d’être certifiée.
Pour estimer à sa juste valeur l’importance d’une certification en matière de produits de cybersécurité, José Lavancier, responsable des certifications chez PRIM’X, nous éclaire sur les critères exigeants à garantir pour l’obtenir. Si l’on devait résumer la certification en quelques mots-clés, ces derniers seraient : confiance, sérieux, rigueur.
Qu’est-ce que la certification ?
En France, les certifications en matière de logiciels de sécurité informatique sont pilotées et vérifiées par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), organisme d’État d’envergure nationale, européenne et internationale, reconnue dans le monde entier pour son sérieux et sa rigueur.
Les certifications ANSSI sont reconnues par la plupart des autorités nationales des pays occidentaux. Elles sont de deux niveaux : la certification de premier niveau, une spécificité française uniquement, plus accessible que la certification “Critères Communs” qui est une procédure longue, précise et coûteuse qui garantit le plus haut niveau de qualité d’un produit de sécurité informatique, reconnue dans la plupart des pays. C’est ce niveau qui est pratiqué pour les produits PRIM’X.
La certification : un gage de confiance
Par rapport à de nombreuses sociétés de sécurité informatique qui affirment être au meilleur standard de qualité (parfois même aux « normes militaires »), ce qui relève de l’auto déclaration sans aucune preuve, la certification effectuée par un organisme indépendant apporte la confiance : le client peut accorder un crédit total aux arguments de l’éditeur de logiciels.
« C’est le point le plus important ; cela apporte la confiance au client dans la sécurité des produits. Confiance dans ce que l’éditeur dit et dans ce qu’il produit. » rappelle José Lavancier.
La certification : une preuve de sérieux
Il confirme : « en deuxième lieu, ce qui est important notamment pour l’image de marque, cela apporte une preuve de sérieux. En général, les grands comptes connaissent le processus de certification et savent que c’est long, coûteux et sans concession. Ils savent que les sociétés qui se lancent dans le processus de certification sont solides et sérieuses. »
L’excellence ne se limite pas au produit, elle se construit avec tous les aspects organisationnels de l’entreprise, et elle impose une remise en cause complète puis un état d’esprit d’amélioration permanente au sein des équipes.
La certification : une marque de rigueur
« Les entreprises qui entament une certification savent que cela équivaut à un examen avec contrôle continu. Cela tire les produits vers, peut-être pas la perfection, mais en tout cas vers le haut, vers l’excellence. Et pas seulement les produits : tout l’aspect processus autour du développement du produit est aussi audité, de la conception jusqu’au support. Audit sur site, examen de la sécurité des IT (un peu comme pour les certifications ISO)… L’organisation générale de la R&D de l’entreprise doit être au meilleur niveau, sous peine de rater la certification. Ainsi, en interne, les processus ont beaucoup progressé depuis que PRIM’X a commencé les certifications en 2003-2004. Cela a contribué fortement à l’excellence que l’on connaît maintenant. L’obtention de la certification « critères communs » donne ensuite accès à des sur-expertises et permet d’être intégré aux catalogues de l’Union européenne, des Pays-Bas, de l’Espagne, de différents pays encore.
C’est un « booster » international. » précise José Lavancier.
Le processus de certification est long (un an et demi à deux ans) et laborieux : il oblige le prestataire à formaliser, documenter voire réorganiser sa production en interne avant de pouvoir être validé comme candidat, puis suivre toute la procédure.
Plus précisément, il se décline en plusieurs étapes :
1. Préparation du dossier ANSSI (spécification de la cible de sécurité, sorte de cahier des charges de l’évaluation indiquant à quelle menace on répond et comment) ;
2. Après acceptation du dossier, évaluation du produit qui se décline en trois parties principales :
a. L’analyse du code source et de la documentation produit (spécifications, guides, plan de tests etc.) pour vérifier qu’il n’y a pas de défaut de sécurité ;
b. Analyse des processus de développement (de la conception au support en passant par la livraison) pour s’assurer que le produit a été correctement et sécuritairement conçu ;
c. Des tests fonctionnels et une analyse de vulnérabilité pour vérifier la résistance du produit.
L’organisme chargé de conduire l’évaluation a accès à l’ensemble des contenus, sous le sceau de la confidentialité, et n’hésite pas à compiler les pages de code pour les vérifier, et à essayer par tous les moyens de casser les algorithmes de chiffrement utilisés.
Il faut donc réinitialiser les procédures de certification régulièrement, d’autant qu’elles ne sont valables que pour un seul produit et une seule version (même si une maintenance est possible en cas de nouvelle vulnérabilité découverte).
Cela explique aussi pourquoi très peu de sociétés de sécurité informatiques certifient leurs produits. De son côté, PRIM’X se concentre sur ses trois produits phares sous Windows. Et travaille régulièrement sur une évolution de cette cible.
Les certifications officielles des États (notamment européens) sont un gage – le seul – de confiance, de sérieux et de rigueur que chaque client est en droit d’exiger de son prestataire de logiciel de sécurité informatique. Indépendant, international, ce label est à ce jour la meilleure garantie de qualité d’un produit malgré la complexité, la longueur et le poids financier qu’il implique.