Certification de sécurité de premier niveau
La Certification de Sécurité de Premier Niveau (CSPN), aussi appelée « Visa de Sécurité de l'ANSSI », est une des certifications délivrée par l'Agence nationale de la sécurité des systèmes d'information pour des produits des technologies de l'information. La CSPN, mise en place par l’ANSSI en 2008, permet d’attester que le produit (logiciel, système d'exploitation, appliance, matériel...) a subi avec succès une évaluation de sécurité par un centre d’évaluation (CESTI) agréé par l’ANSSI.
La CSPN consiste en des tests en « boîte noire » effectués en temps et délais contraints. La CSPN est une alternative aux évaluations Critères Communs, dont le coût et la durée peuvent être un obstacle, et lorsque le niveau de confiance visé est moins élevé. Cette certification s’appuie sur des critères, une méthodologie et un processus élaborés par l’ANSSI.
Ne pas confondre la CSPN avec la Sec Num Académie qui est un MOOC (en français : cours en ligne ouvert et massif, CLOM) gratuit destiné à sensibiliser le grand-public aux bases de la sécurité[1].
Produits certifiés
Les produits sont répartis en plusieurs catégories[2]
- Effacement de données
- Stockage sécurisé
- Systèmes d'exploitation et de virtualisation
- Pare-feu
- Détection d'intrusions
- Anti-virus, protection contre les codes malicieux
- Identification, authentification et contrôle d'accès
- Communication sécurisée
- Messagerie sécurisée
- Environnement d'exécution sécurisé
- Automate programmable industriel
- Commutateur industriel
La certification CSPN a notamment été attribuée[3] à Blancco (effacement de données), Bro (détection d'intrusions), Nedap (système de contrôle d'accès), Olvid[4] (messagerie instantanée), OpenVPN[5] (logiciel de réseau privé virtuel), Seald[6] (SDK de chiffrement de bout-en-bout), Teopad (environnement d'exécution sécurisé), Trango (hyperviseur, système d'exploitation et de virtualisation), TrueCrypt (stockage sécurisé), wapt (déploiement de logiciels).
La certification
L'ANSSI précise[7] qu'elle délivre des certifications à l’état de l’art réalisées en fonction d’une cible de sécurité et d’un niveau de sécurité visé. En particulier, l'obtention d'une certification pour un produit se fait pour une version donnée et ne s'applique pas aux versions suivantes ou aux éventuelles mises à jour .
Les produits certifiés bénéficient d'un Visa de sécurité[8] et sont référencés dans un catalogue[9] édité chaque année par l'ANSSI.
Procédure
La procédure est régie par le Décret no 2002-535 du 18 avril 2002[10]. La première étape est le dépôt d'une demande de certification auprès d'un centre agréé.
Centres agréés
L'évaluation des demandes est confiée à un centre d'évaluation de la sécurité des technologies de l'information (CESTI) agréé : SERMA Safety & Security[11], Thales, Amossys[11], le Leti[12], Quarkslab[11], Synacktiv[11], Lexfo[11] font ainsi partie des centres d'évaluation.
Obtention
En se basant notamment sur le rapport technique d'évaluation du CESTI, l'ANSSI délivre éventuellement le certificat et rédige un rapport de certification publié sur son site.
Références
- https://www.ssi.gouv.fr/administration/formations/secnumacademie/
- « Certification de sécurité de premier niveau » [PDF], sur ANSSI (consulté le )
- « Les produits CSPN », sur ANSSI (consulté le )
- « Olvid », sur ANSSI (consulté le )
- « OpenVPN », sur ANSSI (consulté le )
- « SEALD-SDK Goatee, version 2.1 », sur ANSSI (consulté le )
- « Certification », sur ANSSI (consulté le )
- « Visa de Sécurité de l'ANSSI », sur ssi.gouv.fr (consulté le )
- « Visas de sécurité – Le catalogue », sur ssi.gouv.fr (consulté le )
- « Décret n°2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information », sur Légifrance (consulté le )
- « Les centres d’évaluation | Agence nationale de la sécurité des systèmes d'information », sur www.ssi.gouv.fr (consulté le )
- « Mettre à l'épreuve les produits stockant des informations personnelles » (consulté le )
- Portail de la sécurité informatique
- Portail de la sécurité de l’information
- Portail de la cryptologie