L’Anssi peut enfin certifier les produits et services de confiance

Le décret déterminant les procédures de qualification des produits et des services de confiance pour « les besoins de la sécurité nationale » vient d’être publié au Journal Officiel.

C’est l’une des missions conférées à l’Agence nationale pour la sécurité des systèmes d’information (Anssi) par la loi de programmation militaire (LPM) : certifier les produits et services de sécurité informatique déployés pour des « besoins de sécurité nationale ». Cette certification s’avèrera indispensable pour qui voudra vendre ses produits et services aux opérateurs d’infrastructures vitales (OIV).

Guillaume Poupard (Anssi), lors du FIC 2015.

A l’occasion d’une conférence de presse, organisée lors de l’édition 2015 du Forum International de la Cybersécurité (FIC), qui se déroulait à Lille, fin janvier, Guillaume Poupard, directeur général de l’Anssi expliquait que « les décrets d’application » encadrant justement ce travail de qualification « ont mis en certain temps ». Et d’ajouter qu’ils avaient été finalisés la veille même de cette conférence de presse.

Et d’expliquer en quoi consistera sa mission : « nous publierons dans référentiels dans différentes thématiques ». Et ce concernera notamment les prestataires d’audit, ou encore de services de détection des incidents de sécurité, et de réaction à incident – « qui impose généralement une refonte générale de l’architecture même du système d’information » compromis.

Evoqués à l’occasion du FIC à plusieurs reprises, les services Cloud devraient également faire l’objet d’une qualification. L’occasion d’évaluer notamment CloudWatt, s’il s’y propose, dont Orange vient tout juste de prendre officiellement le contrôle.

Les décrets auxquels faisait référence Guillaume Poupard viennent d’être publiés au Journal Officiel. Ils instaurent en particulier la création « d’une procédure de qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale », par le biais de centre d’évaluation ou, en leur absence, par l’Anssi.

Pour approfondir sur Cyberdéfense

Close