L'ANSSI désormais armée pour labelliser la sécurité

L’ANSSI désormais armée pour labelliser la sécurité

Label et la quête

Avatar de l'auteur

Marc Rees

Publié dansDroit

30/03/2015
23
L'ANSSI désormais armée pour labelliser la sécurité

En janvier dernier, Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, avait prévenu de la publication prochaine des textes d’application de la loi de programmation militaire. Une étape importante a été franchie ce week-end, avec la diffusion au Journal officiel du décret relatif à « la qualification  des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. »

L’enjeu de ce décret est d’identifier, parmi les prestataires et éditeurs disponibles sur le marché de la sécurité, ceux qui peuvent être qualifiés de « confiance ». « Notre objectif n’est pas de faire un classement, mais de dire qu’au nom du premier ministre, on s’engage sur la confiance dans la qualité de leurs travaux », prévenait Guillaume Poupart, lors du dernier Forum international de la cybersécurité à Lille. « Avoir les plus beaux PowerPoint n’est pas forcément un gage de sécurité ! »

Ce label de confiance n’a pas seulement de précieuses vertus commerciales, puisque ces éditeurs et prestataires écrémés seront aussi imposés aux opérateurs d’infrastructures vitales, c’est-à-dire ceux « dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Sont visés ici les centrales nucléaires, les opérateurs télécom, de santé, de transports, etc., en tout 250 acteurs définis à l’article L.1332-1 du Code de la défense, et sur la sécurité desquels l’ANSSI veille.

Une labellisation orchestrée par l’ANSSI, épaulée par des centres agréés

Le décret publié hier au Journal officiel décrit donc dans le détail le processus de labellisation « des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. »

Pour résumer, les demandes seront adressées à l’ANSSI, qui aura précédemment défini une série de critères sur son site. L’éditeur devra du coup répondre à un lot d’objectifs, de fonctionnalités tout en prenant soin de fournir l’intégralité du code source « sans restriction ». Son dossier complet, il se rapprochera d’un centre d’évaluation agréé, lequel pourra être épaulé par l’ANSSI dans les cas très pointus. L'audit se soldera par un rapport permettant à l’Agence de labelliser (ou non).

Le texte organise tout autant l’agrément des centres d’évaluation eux-mêmes. Une procédure qui passe par l’audit des compétences du personnel, des moyens déployés, des ressources, mais aussi de son « activité passée », etc.

Une profonde enquête administrative préalable

Les prétendants doivent évidemment être en mesure de respecter les prescriptions relatives au secret de la défense nationale (information classifiée) puisqu’ils seront susceptibles de se voir confier des données très sensibles.

Surtout, ils feront également l’objet d'enquêtes administratives préalables, celles « destinées à vérifier que le comportement des personnes physiques ou morales intéressées n'est pas incompatible avec l'exercice des fonctions ou des missions envisagées » (L114-1).

Cette contrainte autorisera l’État à déployer largement toute l’attention de ses services, histoire de déceler d’éventuels mauvais canards, voire des chevaux de Troie : possibilité de consulter les fichiers de procédures judiciaires qui les concerneraient, de vérifier leur entourage, leurs activités publiques, tous les agissements « susceptibles de recevoir une qualification pénale », et même de scruter leurs comportements et déplacements (article R236-12 du Code de la défense).

23
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 2
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 Hard 15

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Preprint not PR-print

17:31 IA 6

Sommaire de l'article

Introduction

Une labellisation orchestrée par l’ANSSI, épaulée par des centres agréés

Une profonde enquête administrative préalable

Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 2
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 15

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 31
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 17
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 19
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (23)


Ricard
Le 30/03/2015 à 08h47

Haaaa. GPG doit être dedans, de toute évidence vu la râlerie d’INterpol de ces derniers jours <img data-src=" />


wanou Abonné
Le 30/03/2015 à 09h04

La liste des logiciels labélisés sera-t-elle rendue publique?


tmtisfree
Le 30/03/2015 à 09h10

Office et son pare-feu sont déjà pré-labellisés, selon un communiqué du ministère. Mais SGDG, comme d’habitude.


T. Abonné
Le 30/03/2015 à 09h20
nday Abonné
Le 30/03/2015 à 09h33

Le sous-titre !&nbsp;<img data-src=" />&nbsp;<img data-src=" />


lmarecha
Le 30/03/2015 à 09h46

c’est bien, il vont pouvoir aider l’hadopi a etablire la liste des solutions de securisations qu iest attendue depuis…. heu combien d’annees deja…


Ricard
Le 30/03/2015 à 09h49






trou a écrit :

Elle l’est déjà :http://www.ssi.gouv.fr/administration/produits-certifies/


Heu… elle est où ta liste ?



Ricard
Le 30/03/2015 à 09h49

&nbsp;





nday a écrit :

Le sous-titre !&nbsp;<img data-src=" />&nbsp;<img data-src=" />


Qué quête ? <img data-src=" />



wanou Abonné
Le 30/03/2015 à 09h49

Merci pour l’info.


secouss
Le 30/03/2015 à 09h53

J’adore :&nbsp;

&nbsp;tout en prenant soin de fournir l’intégralité du code source «&nbsp;sans restriction&nbsp;»
&nbsp;Tant qu’à pas se casser le choux à le récupérer illégalement. C’est ça le choc de simplification <img data-src=" /> on vole plus, vous nous l’apportez sur clé usb 3.0 s’il vous plait ^^


mikfr
Le 30/03/2015 à 10h21

hum en gros, c’est des certifications obsolètes :)


Ricard
Le 30/03/2015 à 10h29
Ricard
Le 30/03/2015 à 10h30






mikfr a écrit :

hum en gros, c’est des certifications obsolètes :)


Heu… non. Les versions des logiciels sont peut-être obsolètes, mais pas la certification, par définition. ^ -^’



mikfr
Le 30/03/2015 à 10h57

Oui enfin je vois mal une boite dire qu’elle utilise des versions certifiées par l’anssi et que par conséquent, c’est sécurisé


Flykz
Le 30/03/2015 à 11h05

Y’en a qui vont pas se priver.
Mais bon ça change pas ce que ça vaut&nbsp;<img data-src=" />


Ricard
Le 30/03/2015 à 11h24

Faut rajouter aussi qu’une version obsolète n’est pas pour autant inefficace et insécurisée.


nday Abonné
Le 30/03/2015 à 11h50

Alors toi, je te mets 1 Ricard (sinon rien)…


CUlater
Le 30/03/2015 à 13h00


«&nbsp;Avoir les plus beaux PowerPoint n’est pas forcément un gage de sécurité !&nbsp;»
Ça&nbsp;vire pas mal de monde&nbsp;<img data-src=" />


Patch Abonné
Le 30/03/2015 à 13h20






Ricard a écrit :

Qué quête ? <img data-src=" />

du requin mâle <img data-src=" />



Nerkazoid
Le 30/03/2015 à 13h31

Rien que ça déjà… “L’éditeur devra du coup répondre à un lot d’objectifs, de fonctionnalités” <img data-src=" />


Ne2l Abonné
Le 30/03/2015 à 22h14
Fnux
Le 31/03/2015 à 10h59

Et en plus des sources à “offrir”, quel autre “service” doit on fournir? Oreillers, voyages, montres, valise d’espèces, sa copine ? Et tout ça pour que l’ANSSI refile les “bébés” gratos aux copains membres de l’arrangement de Wassenaar ! Y’a pas à dire, mais ils se foutent vraiment de notre gueule ! <img data-src=" />

C’est pour cela qu’une société d’origine française (TWD Industries) que l’ANSSI voulait dépouiller de son savoir s’est éclipsée en Suisse pour proposer ses très intéressants services de cryptographie http://www.trustleap.com) ! <img data-src=" />