Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’ANSSI remet en question le texte du projet européen sur la certification

octobre 2017 par Marc Jacob

Lors de la 5ème édition des RPCyber, organisée par le Cybercercle, Philippe Blot, Chef de division produits et services de l’ANSSI a fait le point sur la certification dans la perspective du futur projet de règlement européen. Le moins que l’on puisse dire est que les experts de l’ANSSI ne sont pas en phase avec le texte du projet européen sur la certification…

Philippe Blot, Chef de division produits et services de l’ANSSI a rappelé en préambule de son intervention lors de la 5èmé édition des RPCyber, la définition de la certification des produits et des services. La certification a pour objectif de rassurer les clients sur la qualité des produits de sécurité du marché. Elle permet de donner un gage sur la robustesse du produit. A l’ANSSI, il y a plusieurs de types de certification, le critère commun qui a une reconnaissance internationale, la CSPN qui est une évaluation de 1er niveau créée vers 2006.

Une centaine de certificats critères communs sont délivrés chaque année en particulier pour des cartes à puces, moyens de paiement... mais aussi sur la sécurité des produits industriels comme les automates de Schneider Electric ou de Siemens... 25 à 30 certifications CSPN sont aussi délivrées tous les ans. 50% d’industriel réussissent à passer la CSPN. Il faut noter que cette certification a été adoptée par les Pays-Bas et est en cours d’adoption en Allemagne preuve que la démarche française commence à faire référence en Europe.

Pour Philippe Blot, au niveau européen 300 à 400 produits seraient certifiés chaque année ce qui est insuffisant. C’est pour cela que l’approche européenne avec l’aide de bureaux certificateurs du monde privé comme le bureau Veritas ou le CNPP, pourrait être précieuse. En effet, ces organismes pourraient certifier les produits qu’ils évaluent déjà sur d’autres domaines. Ces certifications seraient plus automatisées avec des bancs de tests et un processus plus légers nécessitant seulement une « dizaine d’homme jour » pour obtenir une certification.

Par contre, la proposition européenne de certification pêche sur la qualité d’évaluation pour certains produits mais aussi concernant la démarche d’auto évaluation par les industriels eux-mêmes. Au niveau des services, l’ANSSI certifie des prestataires d’audit, de test, de Cloud... ce type de certification n’est pas mis en avant dans la proposition européenne. Il a évoqué aussi la place des différents pays des États membres dans cette certification qui serait amoindrie. En effet l’Europe souhaite que l’ENISA pilote cette certification alors qu’elle n’a aujourd’hui aucune compétence pour le réaliser ces opérations. La position de l’ANSSI et donc de la France, est de donner à chaque pays membres cette compétence.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants