En janvier dernier, Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, avait prévenu de la publication prochaine des textes d’application de la loi de programmation militaire. Une étape importante a été franchie ce week-end, avec la diffusion au Journal officiel du décret relatif à « la qualification  des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. »

L’enjeu de ce décret est d’identifier, parmi les prestataires et éditeurs disponibles sur le marché de la sécurité, ceux qui peuvent être qualifiés de « confiance ». « Notre objectif n’est pas de faire un classement, mais de dire qu’au nom du premier ministre, on s’engage sur la confiance dans la qualité de leurs travaux », prévenait Guillaume Poupart, lors du dernier Forum international de la cybersécurité à Lille. « Avoir les plus beaux PowerPoint n’est pas forcément un gage de sécurité ! »

Ce label de confiance n’a pas seulement de précieuses vertus commerciales, puisque ces éditeurs et prestataires écrémés seront aussi imposés aux opérateurs d’infrastructures vitales, c’est-à-dire ceux « dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Sont visés ici les centrales nucléaires, les opérateurs télécom, de santé, de transports, etc., en tout 250 acteurs définis à l’article L.1332 - 1 du Code de la défense, et sur la sécurité desquels l’ANSSI veille.

Une labellisation orchestrée par l’ANSSI, épaulée par des centres agréés

Le décret publié hier au Journal officiel décrit donc dans le détail le processus de labellisation « des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. »

Pour résumer, les demandes seront adressées à l’ANSSI, qui aura précédemment défini une série de critères sur son site. L’éditeur devra du coup répondre à un lot d’objectifs, de fonctionnalités tout en prenant soin de fournir l’intégralité du code source « sans restriction ». Son dossier complet, il se rapprochera d’un centre d’évaluation agréé, lequel pourra être épaulé par l’ANSSI dans les cas très pointus. L'audit se soldera par un rapport permettant à l’Agence de labelliser (ou non).

Le texte organise tout autant l’agrément des centres d’évaluation eux-mêmes. Une procédure qui passe par l’audit des compétences du personnel, des moyens déployés, des ressources, mais aussi de son « activité passée », etc.

Une profonde enquête administrative préalable

Les prétendants doivent évidemment être en mesure de respecter les prescriptions relatives au secret de la défense nationale (information classifiée) puisqu’ils seront susceptibles de se voir confier des données très sensibles.

Surtout, ils feront également l’objet d'enquêtes administratives préalables, celles « destinées à vérifier que le comportement des personnes physiques ou morales intéressées n'est pas incompatible avec l'exercice des fonctions ou des missions envisagées » (L114-1).

Cette contrainte autorisera l’État à déployer largement toute l’attention de ses services, histoire de déceler d’éventuels mauvais canards, voire des chevaux de Troie : possibilité de consulter les fichiers de procédures judiciaires qui les concerneraient, de vérifier leur entourage, leurs activités publiques, tous les agissements « susceptibles de recevoir une qualification pénale », et même de scruter leurs comportements et déplacements (article R236-12 du Code de la défense).