Certification de sécurité de premier niveau

Cet article est une ébauche concernant l’informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La Certification de Sécurité de Premier Niveau (CSPN), aussi appelée « Visa de Sécurité de l'ANSSI », est une des certifications délivrée par l'Agence nationale de la sécurité des systèmes d'information pour des produits des technologies de l'information. La CSPN, mise en place par l’ANSSI en 2008, permet d’attester que le produit (logiciel, système d'exploitation, appliance, matériel...) a subi avec succès une évaluation de sécurité par un centre d’évaluation (CESTI) agréé par l’ANSSI.

La CSPN consiste en des tests en « boîte noire » effectués en temps et délais contraints. La CSPN est une alternative aux évaluations Critères Communs, dont le coût et la durée peuvent être un obstacle, et lorsque le niveau de confiance visé est moins élevé. Cette certification s’appuie sur des critères, une méthodologie et un processus élaborés par l’ANSSI.

Ne pas confondre la CSPN avec la Sec Num Académie qui est un MOOC (en français : cours en ligne ouvert et massif, CLOM) gratuit destiné à sensibiliser le grand public aux bases de la sécurité^[1].

Produits certifiés[modifier | modifier le code]

Les produits sont répartis en plusieurs catégories^[2]

Effacement de données
Stockage sécurisé
Systèmes d'exploitation et de virtualisation
Pare-feu
Détection d'intrusions
Anti-virus, protection contre les codes malicieux
Identification, authentification et contrôle d'accès
Communication sécurisée
Messagerie sécurisée
Environnement d'exécution sécurisé
Automate programmable industriel
Commutateur industriel

La certification CSPN a notamment été attribuée^[3] à Blancco (effacement de données), Bro (détection d'intrusions), Nedap (système de contrôle d'accès), Olvid^[4] (messagerie instantanée), OpenVPN^[5] (logiciel de réseau privé virtuel), Seald^[6] (SDK de chiffrement de bout-en-bout), Teopad (environnement d'exécution sécurisé), Trango (hyperviseur, système d'exploitation et de virtualisation), TrueCrypt (stockage sécurisé), wapt (déploiement de logiciels).

La certification[modifier | modifier le code]

L'ANSSI précise^[7] qu'elle délivre des certifications à l’état de l’art réalisées en fonction d’une cible de sécurité et d’un niveau de sécurité visé. En particulier, l'obtention d'une certification pour un produit se fait pour une version donnée et ne s'applique pas aux versions suivantes ou aux éventuelles mises à jour .

Les produits certifiés bénéficient d'un Visa de sécurité^[8] et sont référencés dans un catalogue^[9] édité chaque année par l'ANSSI.

Procédure[modifier | modifier le code]

La procédure est régie par le Décret n^o 2002-535 du 18 avril 2002^[10]. La première étape est le dépôt d'une demande de certification auprès d'un centre agréé.

Centres agréés[modifier | modifier le code]

L'évaluation des demandes est confiée à un centre d'évaluation de la sécurité des technologies de l'information (CESTI) agréé : SERMA Safety & Security^[11], Thales, Amossys^[11], le Leti^[12], Quarkslab^[11], Oppida^[13], Synacktiv^[11], Lexfo^[11] font ainsi partie des centres d'évaluation.

Obtention[modifier | modifier le code]

En se basant notamment sur le rapport technique d'évaluation du CESTI, l'ANSSI délivre éventuellement le certificat et rédige un rapport de certification publié sur son site.

Références[modifier | modifier le code]

↑ https://www.ssi.gouv.fr/administration/formations/secnumacademie/
↑ « Certification de sécurité de premier niveau » [PDF], sur ANSSI (consulté le 7 mai 2015)
↑ « Les produits CSPN », sur ANSSI (consulté le 8 mai 2015)
↑ « Olvid », sur ANSSI (consulté le 16 mars 2021)
↑ « OpenVPN », sur ANSSI (consulté le 7 août 2020)
↑ « SEALD-SDK Goatee, version 2.1 », sur ANSSI (consulté le 11 mars 2021)
↑ « Certification », sur ANSSI (consulté le 8 mai 2015)
↑ « Visa de Sécurité de l'ANSSI », sur ssi.gouv.fr (consulté le 7 septembre 2018)
↑ « Visas de sécurité – Le catalogue », sur ssi.gouv.fr (consulté le 7 septembre 2018)
↑ « Décret n°2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information », sur Légifrance (consulté le 8 mai 2015)
↑ ^{a b c d et e} « Les centres d’évaluation | Agence nationale de la sécurité des systèmes d'information », sur www.ssi.gouv.fr (consulté le 13 juillet 2016)
↑ « Mettre à l'épreuve les produits stockant des informations personnelles » (consulté le 8 mai 2015)
↑ « Oppida »

[1] ttps://www.ssi.gouv.fr/administration/formations/secnumacademie/

[RIBAN-2] « Certification de sécurité de premier niveau » [PDF], sur ANSSI (consulté le 7 mai 2015)

[produits-3] « Les produits CSPN », sur ANSSI (consulté le 8 mai 2015)

[4] « Olvid », sur ANSSI (consulté le 16 mars 2021)

[5] « OpenVPN », sur ANSSI (consulté le 7 août 2020)

[6] « SEALD-SDK Goatee, version 2.1 », sur ANSSI (consulté le 11 mars 2021)

[parapluie-7] « Certification », sur ANSSI (consulté le 8 mai 2015)

[8] « Visa de Sécurité de l'ANSSI », sur ssi.gouv.fr (consulté le 7 septembre 2018)

[9] « Visas de sécurité – Le catalogue », sur ssi.gouv.fr (consulté le 7 septembre 2018)

[Décret-10] « Décret n°2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information », sur Légifrance (consulté le 8 mai 2015)

[rOC6GG1-11] {a b c d et e} « Les centres d’évaluation | Agence nationale de la sécurité des systèmes d'information », sur www.ssi.gouv.fr (consulté le 13 juillet 2016)

[LETI-12] « Mettre à l'épreuve les produits stockant des informations personnelles » (consulté le 8 mai 2015)

[Oppida-13] « Oppida »

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]