G. LA POLITIQUE DE LABELLISATION
Le développement d'un écosystème privé de cybersécurité est indispensable car l'ANSSI n'a ni la vocation, ni les moyens de tout faire tant les champs à couvrir ne cessent de s'étendre. Elle doit donc se concentrer sur ses missions et favoriser l'émergence de prestataires privés pour prendre le relais dans la mise en oeuvre de ses recommandations. A cet effet, elle mène une politique originale de labellisation et de certification.
L'ANSSI délivre plusieurs types de labels, tant sur des produits que sur des prestataires de service dans le domaine des technologies de l'information. Ces labels, qui permettent de mettre en valeur les offres présentant un bon niveau de sécurité et de confiance, sont un outil primordial dans le développement de la sécurité numérique au sein des administrations et des entreprises. Le recours à des produits ou services labellisés est imposé par la voie réglementaire dans certains cas d'usage. Il est par ailleurs largement recommandé par l'ANSSI dans tous les autres cas. La mise en oeuvre des différents dispositifs de labellisation représente un engagement significatif pour l'ANSSI, qui y consacre une trentaine d'ETP.
1. La labellisation de produits
La prise de conscience des enjeux liés à la sécurité du numérique conduit les ministères comme les entreprises à exprimer un besoin croissant de sécurité 56 ( * ) ; pour l'ANSSI, cela se traduit par une augmentation du nombre de produits et services soumis à qualification ou à certification.
Le décret n° 2002-535 du 18 avril 2002 définit le cadre général du schéma national de certification des produits de sécurité. Il permet à l'ANSSI de délivrer, après une évaluation approfondie par un laboratoire privé agréé, des certificats attestant de la conformité d'un produit aux objectifs de sécurité définis par un commanditaire. Ces certificats n'ont pas nécessairement valeur de recommandation d'usage par l'ANSSI ; une part conséquente des certificats délivrés par l'ANSSI répond à des besoins de sécurité exprimés par des tiers, par exemple par le secteur bancaire, qui exige la certification, selon les objectifs de sécurité qu'il a lui-même définis, des moyens de paiement électroniques. Au titre de ce schéma de certification, l'ANSSI a délivré 96 certificats en 2015 (nombre comparable à 2014, après une croissance significative sur la période 2010-2014), et procédé à la réactualisation de 120 certificats délivrés antérieurement. |
L'ANSSI délivre également un autre type de label, dénommé qualification. Celui-ci, qui repose sur une certification assortie de travaux complémentaires, a explicitement valeur de recommandation par l'ANSSI, qui s'assure de la pertinence des objectifs de sécurité et tient à jour un catalogue des produits qualifiés.
La qualification de produits de sécurité s'inscrit désormais dans trois cadres réglementaires distincts : le décret n° 2010-112 du 2 février 2010 relatif aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, le décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale, et le règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, entré en application au 1er juillet 2016. Tous cadres réglementaires confondus, l'ANSSI a délivré 13 qualifications de produits en 2015, soit un nombre relativement faible dû principalement aux retards enregistrés par plusieurs projets en cours de qualification. Une augmentation significative est d'ores et déjà constatée en 2016 (12 qualifications sur les six premiers mois). L'ANSSI tient par ailleurs à jour un indicateur LOLF « Taux de réalisation du catalogue objectif des produits de sécurité », représentant le taux de couverture par des produits qualifiés de la typologie des produits nécessaires à la satisfaction des besoins de l'administration. Cet indicateur est en progression constante, en dépit de l'augmentation régulière du périmètre à couvrir. Il convient notamment de signaler l'apparition de nouveaux besoins en matière de sondes qualifiées de détection d'attaques informatiques, qui découlent des nouvelles dispositions en matière de cyberdéfense introduites par la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019. Les deux premières sondes répondant à ces exigences ont entamé leurs démarches respectives de qualification en juillet 2016, dans le but d'obtenir ces qualifications d'ici la fin de l'année. |
Des travaux conséquents ont été engagés en 2016 afin d'améliorer les processus de certification et de qualification, dans un triple objectif de réduction des délais, d'adaptation aux nouvelles contraintes de produits émergents (objets connectés), et d'uniformisation des processus entre les différents cadres réglementaires applicables. Ces travaux devraient notamment donner lieu à la publication, avant la fin de l'année, d'un processus unifié permettant de mutualiser les travaux débouchant sur des qualifications de produits et d'alléger ainsi significativement les charges qui incombent aux fournisseurs.
2. La labellisation des prestataires de services
L'ANSSI délivre des qualifications à des prestataires de services, dans des métiers critiques pour la sécurité numérique. Ces qualifications, qui s'inscrivent dans les trois mêmes cadres réglementaires que précédemment, attestent à la fois de la compétence des prestataires, et de la confiance qui peut leur être accordée pour la protection des informations sensibles que leurs activités les conduisent à manipuler. A la différence des produits, les qualifications de services reposent sur des référentiels distincts, associés à des exigences spécifiques de compétences, pour chaque type de service.
A ce stade, le domaine des prestataires de service dans les métiers de l'audit de sécurité informatique (PASSI - prestataires d'audit en sécurité des systèmes d'information) a atteint son régime de croisière. Instauré en 2013 au titre du décret de 2010, il compte désormais 18 prestataires qualifiés, et 14 en cours de qualification, auxquels se sont ajoutés en juillet 2016 les 10 premiers prestataires qualifiés selon les dispositions du décret de 2015.
Par ailleurs, l'ANSSI conduit actuellement les derniers travaux préparatoires à la mise en place de trois nouveaux domaines de qualification, pour des prestataires respectivement de détection d'incident de sécurité, de réponse à incident, et d'informatique en nuage ( Cloud Computing ). Ces trois domaines font actuellement l'objet de phases expérimentales avec différents prestataires), qui devraient déboucher sur l'instruction des premières qualifications fin 2016 ou début 2017.
Enfin, le règlement du 23 juillet 2014 a introduit un nombre significatif de nouveaux types de services qualifiés, en matière de certification, d'horodatage et de signature électroniques, qui ont nécessité un important travail préparatoire de l'ANSSI en 2015 et 2016, afin de disposer des référentiels applicables à ces différents prestataires avant l'entrée en vigueur du règlement au 1 er juillet 2016.
A l'instar de la qualification de produits, des travaux sont en cours afin d'uniformiser autant que possible ces différents domaines de labellisation, et de mutualiser ce qui peut l'être entre les différents cadres réglementaires applicables.
3. La labellisation des filières de formation
L'ANSSI a mis en place un schéma de labellisation de formations supérieures en sécurité numérique, dans le double objectif de valoriser ces formations et de faciliter l'identification, par les employeurs ou les étudiants, des parcours de formation pertinents.
Le label « SecNumedu » s'appuie sur un référentiel de labellisation, dont l'élaboration a été pilotée par l'ANSSI avec la contribution d'industriels, d'écoles, du Pôle d'Excellence Cyber (PEC) et du ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche. Il est attribué pour une durée de trois ans renouvelable et permet à la formation qui en bénéficie de figurer au catalogue « SecNumedu » , de l'ANSSI. Les premiers dossiers de candidature à cette labellisation seront reçus par l'ANSSI début septembre, dans un objectif de délivrance des premiers labels en janvier 2017. |
* 56 Au sein des ministères, cette tendance a pour effet de multiplier les missions de conseil et d'assistance, les audits de sécurité, ainsi que les déploiements de moyens sécurisés (ISIS, TEOREM, Horus, etc.) avec leur soutien. Voir supra p. 36.