G. L'ANSSI, ACTEUR DE LA CONSOLIDATION DE LA FILIÈRE FRANÇAISE DE SÉCURITÉ INFORMATIQUE
La mise en oeuvre de moyens techniques plus sophistiqués qui assurent à notre pays une capacité de défense souveraine constitue une réponse à la permanence, à l'intensité et à la complexité de la menace. Dans cette perspective, l'ANSSI mène des actions de politique industrielle 66 ( * ) , en étroite concertation avec d'autres administrations, notamment la direction générale des entreprises et la direction générale de l'armement avec deux objectifs principaux :
• développer l'offre nationale de produits et de services de sécurité, dont la pérennité est indispensable pour satisfaire les besoins spécifiques de l'État, au premier rang desquels les solutions de très haut niveau de confiance et de sécurité qui assurent la protection des informations classifiées de défense ;
• favoriser le recours à la qualification, et soutenir l'offre qualifiée, y compris sur les marchés d'exportation.
Un des volets remarquable est la délivrance de plusieurs types de labels, qui portent aussi bien sur des produits que sur des prestataires de services dans le domaine des technologies de l'information. Le recours à des produits ou services labellisés est imposé par la voie réglementaire dans certains cas ; il est par ailleurs largement recommandé dans tous les autres cas. La mise en oeuvre des différents dispositifs de labellisation représente un engagement significatif pour l'ANSSI, qui y consacre une trentaine d'ETP. Elle suit attentivement le processus de mise en place d'un dispositif européen de certification (voir infra).
|
Le dispositif de labellisation de l'ANSSI Certification de produits de sécurité Le décret n° 2002-535 du 18 avril 2002 permet à l'ANSSI de délivrer, après une évaluation approfondie par un laboratoire privé agréé, des certificats attestant de la conformité d'un produit aux objectifs de sécurité définis par un commanditaire 67 ( * ) . Au titre de ce schéma de certification, l'ANSSI a délivré, en 2017, 94 certificats (nombre stable par rapport à 2016) selon la méthodologie dite des Critères Communs , norme internationale, et 24 au titre de la Certification de sécurité de premier niveau (CSPN), approche complémentaire établie dans un cadre purement national. L'agence poursuit par ailleurs ses efforts de promotion à l'international de la CSPN, avec des résultats encourageants 68 ( * ) . Qualification de produits et de services L'ANSSI délivre également des qualifications qui peuvent porter tant sur des produits que sur des prestataires de services et ont la portée d'une recommandation. Elle a publié et mis en application, en mai 2017, un nouveau processus de qualification. Elle poursuit par ailleurs le développement du cadre de qualification de prestataires de services et son extension à de nouveaux types de services : après les prestataires d'audit (PASSI) depuis 2013 et les prestataires de certification ou d'horodatage électronique, le dispositif de qualification concerne aujourd'hui les prestataires d'informatique en nuage (SecNum cloud ) depuis 2016 ainsi que les prestataires de réponse à incident (PRIS) et de détection d'incident de sécurité (PDIS) depuis 2017. Au cours de l'année 2017, l'ANSSI a délivré 25 qualifications de produits et 78 qualifications de prestataires de service 69 ( * ) . Afin d'améliorer cette lisibilité, elle a lancé, en janvier 2018, la démarche « Visas de sécurité », qui instaure un cadre et des éléments de communication communs à l'ensemble des dispositifs de certification et de qualification. Initiative européenne pour la mise en place d'un dispositif de certification La Commission Européenne a publié le 13 septembre 2017 une proposition de règlement intitulée « Cybersecurity Act » . qui vise à instaurer un cadre harmonisé de certification de sécurité des produits, services et processus numériques. L'ANSSI et son homologue allemand agissent en faveur d'une telle évolution depuis plusieurs années. L'objectif est double : renforcer la sécurité numérique au sein de l'Union européenne en encourageant un large recours à la certification et lutter contre la fragmentation en créant un véritable marché unique harmonisé des produits, services et processus numériques. A la suite de l'adoption de la position du Conseil et du rapport des eurodéputés sur le projet de règlement, qui ont fait évoluer significativement la position initiale de la Commission, les négociations vont se poursuivre. L'ANSSI maintiendra son investissement et assistera le Conseil, dans cette seconde phase ainsi que les travaux lancés par la Commission via l'ENISA ( European Union Agency for Network and Information Security ) pour étudier comment effectuer la transition des schémas de certification actuels vers des schémas relevant du Cybersecurity Act . |
* 66 Sénat n° 110 Tome IX (2017-2018) par MM. Cadic et Mazuir p. 31 et suiv, http://www.senat.fr/rap/a17-110-9/a17-110-91.pdf
* 67 Une part conséquente des certificats délivrés par l'ANSSI répond à des besoins de sécurité exprimés par des tiers, par exemple par le secteur bancaire, qui exige la certification, selon les objectifs de sécurité qu'il a lui-même définis, des moyens de paiement électroniques. La certification est limitée en l'état aux seuls produits, mais pourrait se voir étendue aux prestataires de service dans le futur cadre européen actuellement en cours de négociation.
* 68 L'Allemagne et les Pays-Bas ont ainsi mis en place en 2017 des schémas de certification équivalents et l'établissement d'un accord de reconnaissance mutuelle entre les CSPN française et allemande est envisagé pour le début de l'année 2019.
* 69 Elle tient à jour un indicateur LOLF « Taux de réalisation du catalogue objectif des produits de sécurité », en progression régulière, qui représente le taux de couverture par des produits qualifiés de la typologie des produits nécessaires à la satisfaction des besoins de l'administration.