• Sourd ou malentendant ?
  • 0 811 702 703
    prix d'un appel local depuis un poste fixe

Agence nationale de la sécurité des systèmes d'information

  • Imprimer
  • Partager
Anssi : Agence nationale de la sécurité des systèmes d'information anssi
Qu’est-ce que c’est ?

L'ANSSI est l'autorité nationale de défense et de sécurité des systèmes d'information, organisme issu du décret n° 2009-834 du 7 juillet 2009. Dans le cadre de ses missions, l'ANSSI doit créer les conditions d'un environnement de confiance et de sécurité propice au développement de la société de l'information en France. A ce titre, l'ANSSI développe et acquiert les produits essentiels à la protection des réseaux interministériels les plus sensibles de l'Etat et délivre des labels aux produits de sécurité.

Pour assurer la sécurité de vos systèmes d’informations, l’ANSSI s’associe à l’UGAP pour renforcer la visibilité des produits qualifiés et certifiés.

Les labels de l’ANSSI se répartissent principalement en deux catégories :

  • la certification;
  • la qualification.
La certification

La certification ne porte que sur des produits de sécurité informatique (matériels ou logiciels). Elle est un label qui atteste de la conformité de fonctionnalités précises d’un produit de sécurité à un niveau de sécurité donné.

Il s’agit d’une évaluation réalisée en fonction d’une cible de sécurité et d’un niveau de sécurité visé, notamment en matière de cryptographie. Elle est matérialisée par un rapport de certification et un certificat tous deux signés par le directeur général de l’ANSSI.

Il existe deux niveaux de certification. Pour ces deux niveaux, elle est opérée par un laboratoire indépendant du fournisseur appelé CESTI, accrédité par le Comité français d’accréditation (COFRAC) et agréé par l’ANSSI :

  • la certification « critères communs (CC) » est la certification de plus haut niveau ;
  • la certification de premier niveau (CSPN) porte sur des éléments identiques à la certification CC mais est effectuée dans des délais et à des coûts moindres. Elle atteste d’un niveau de sécurité potentiellement plus faible que la certification CC.
La qualification

La qualification peut être attribuée autant à des produits de sécurité informatique qu’à des prestataires de services de confiance en sécurité des systèmes d’information.

La qualification est obtenue à l'issue d'une évaluation des fonctions de sécurité du produit ou d’un processus d’évaluation rigoureux pour les prestataires répondant aux exigences définies dans un référentiel de qualification mais également de l’ensemble des aspects liés à la confiance que l’on peut estimer avoir dans le produit ou le prestataire (élaboration, acheminement, etc.).

Elle se distingue de la certification par le fait que l’évaluation de sécurité s’assure également de la correspondance du produit aux exigences techniques et opérationnelles de l’administration. En plus d’attester de la sécurité du produit, ces garanties complémentaires visent à apporter un niveau de confiance supplémentaire.

Il existe trois niveaux de qualification pour les produits : élémentaire, standard et renforcé qui permettent de résister à des attaques de niveau croissant.

Pour les prestataires, il existe plusieurs catégories de prestataires de services qualifiés : les prestataires de service de certification électronique, d’horodatage électronique ou d’audit de la sécurité des systèmes d’information.

La qualification d’un produit de sécurité est délivrée directement par l’ANSSI, celle d’un prestataire de services de confiance est, elle, délivrée par un organisme de qualification habilité par l’ANSSI.

Les labels de l’ANSSI sont donnés uniquement pour la version évaluée du produit et pour une durée déterminée.

L'UGAP adhère au code déontologique de la Fevad et au système de Médiation du e-commerce.