Certification de sécurité de premier niveau

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

La certification de sécurité de premier niveau des produits des technologies de l'information (CSPN), mise en place en 2008, est l'une des certifications délivrée par l'Agence nationale de la sécurité des systèmes d'information. La certification CSPN permet d’attester que le produit (logiciel, système d'exploitation, appliance, matériel...) a subi avec succès une évaluation de sécurité par un centre d’évaluation (CESTI) agréé par l’ANSSI.

Produits certifiés[modifier | modifier le code]

Les produits sont répartis en plusieurs catégories[1]

La certification CSPN a notamment été attribuée[2] à Blancco (effacement de données), TrueCrypt (stockage sécurisé), l'hyperviseur TRANGO (système d'exploitation et de virtualisation), Bro (détection d'intrusions), NEDAP AEOS (système de contrôle d'accès), Dropbear (communication sécurisée) ou TEOPAD (environnement d'exécution sécurisé).

La certification[modifier | modifier le code]

L'Agence nationale de la sécurité des systèmes d'information précise[3] qu'elle délivre des certifications à l’état de l’art réalisées en fonction d’une cible de sécurité et d’un niveau de sécurité visé. En particulier, l'obtention d'une certification pour un produit se fait pour une version donnée et ne s'applique pas aux versions suivantes ou aux éventuelles mises à jour .

Procédure[modifier | modifier le code]

La procédure est régie par le Décret n° 2002-535 du 18 avril 2002[4]. La première étape est le dépôt d'une demande de certification auprès d'un centre agréé.

Centres agréés[modifier | modifier le code]

L'évaluation des demandes est confiée à un centre d'évaluation de la sécurité des technologies de l'information (CESTI) agréé. Le Leti[5], Synacktiv[6] ou Sogeti font ainsi partie des centres d'évaluation.

Obtention[modifier | modifier le code]

En se basant notamment sur le rapport technique d'évaluation du CESTI, l'ANSSI délivre éventuellement le certificat et rédige un rapport de certification publié sur son site.

Références[modifier | modifier le code]