L'ANSSI désormais armée pour labelliser la sécurité

L’ANSSI désormais armée pour labelliser la sécurité

Label et la quête

Avatar de l'auteur

Marc Rees

Publié dansDroit

30/03/2015
23
L'ANSSI désormais armée pour labelliser la sécurité

En janvier dernier, Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, avait prévenu de la publication prochaine des textes d’application de la loi de programmation militaire. Une étape importante a été franchie ce week-end, avec la diffusion au Journal officiel du décret relatif à « la qualification  des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. »

L’enjeu de ce décret est d’identifier, parmi les prestataires et éditeurs disponibles sur le marché de la sécurité, ceux qui peuvent être qualifiés de « confiance ». « Notre objectif n’est pas de faire un classement, mais de dire qu’au nom du premier ministre, on s’engage sur la confiance dans la qualité de leurs travaux », prévenait Guillaume Poupart, lors du dernier Forum international de la cybersécurité à Lille. « Avoir les plus beaux PowerPoint n’est pas forcément un gage de sécurité ! »

Ce label de confiance n’a pas seulement de précieuses vertus commerciales, puisque ces éditeurs et prestataires écrémés seront aussi imposés aux opérateurs d’infrastructures vitales, c’est-à-dire ceux « dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Sont visés ici les centrales nucléaires, les opérateurs télécom, de santé, de transports, etc., en tout 250 acteurs définis à l’article L.1332-1 du Code de la défense, et sur la sécurité desquels l’ANSSI veille.

Une labellisation orchestrée par l’ANSSI, épaulée par des centres agréés

Le décret publié hier au Journal officiel décrit donc dans le détail le processus de labellisation « des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. »

Pour résumer, les demandes seront adressées à l’ANSSI, qui aura précédemment défini une série de critères sur son site. L’éditeur devra du coup répondre à un lot d’objectifs, de fonctionnalités tout en prenant soin de fournir l’intégralité du code source « sans restriction ». Son dossier complet, il se rapprochera d’un centre d’évaluation agréé, lequel pourra être épaulé par l’ANSSI dans les cas très pointus. L'audit se soldera par un rapport permettant à l’Agence de labelliser (ou non).

Le texte organise tout autant l’agrément des centres d’évaluation eux-mêmes. Une procédure qui passe par l’audit des compétences du personnel, des moyens déployés, des ressources, mais aussi de son « activité passée », etc.

Une profonde enquête administrative préalable

Les prétendants doivent évidemment être en mesure de respecter les prescriptions relatives au secret de la défense nationale (information classifiée) puisqu’ils seront susceptibles de se voir confier des données très sensibles.

Surtout, ils feront également l’objet d'enquêtes administratives préalables, celles « destinées à vérifier que le comportement des personnes physiques ou morales intéressées n'est pas incompatible avec l'exercice des fonctions ou des missions envisagées » (L114-1).

Cette contrainte autorisera l’État à déployer largement toute l’attention de ses services, histoire de déceler d’éventuels mauvais canards, voire des chevaux de Troie : possibilité de consulter les fichiers de procédures judiciaires qui les concerneraient, de vérifier leur entourage, leurs activités publiques, tous les agissements « susceptibles de recevoir une qualification pénale », et même de scruter leurs comportements et déplacements (article R236-12 du Code de la défense).

23
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

C’est comme CVSS 5.0 mais en moins bien

18:17 Sécu 1
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Géotechnopolitique

16:37 Web 19
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

Il faudrait déjà généraliser la fibre

16:03 HardWeb 20

Sommaire de l'article

Introduction

Une labellisation orchestrée par l’ANSSI, épaulée par des centres agréés

Une profonde enquête administrative préalable

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 1
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 19
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 20
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 7
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 7

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 7
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 33
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 5
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 148

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Web 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 65
Nuage (pour le cloud) avec de la foudre

Cloud : Google demande au régulateur britannique d’enquêter sur Microsoft

Droit 0

Ariane 6 sur son pas de tir

Ariane 6 : premier décollage à l’été 2024

Science 0

La Grande Mosquée se détache devant les toits des maisons de Jérusalem.

Conflit Israël-Hamas : 349 marques financent la désinformation via la publicité programmatique

Web 0

Logo de Nextcloud

Nextcloud rachète la solution open-source de webmail Roundcube

ÉcoWeb 0

Logo de Steam

Steam va abandonner le support de macOS 10.13 et 10.14

Soft 0

Commentaires (23)


Ricard
Il y a 9 ans

Haaaa. GPG doit être dedans, de toute évidence vu la râlerie d’INterpol de ces derniers jours <img data-src=" />


wanou Abonné
Il y a 9 ans

La liste des logiciels labélisés sera-t-elle rendue publique?


tmtisfree
Il y a 9 ans

Office et son pare-feu sont déjà pré-labellisés, selon un communiqué du ministère. Mais SGDG, comme d’habitude.


T. Abonné
Il y a 9 ans
nday Abonné
Il y a 9 ans

Le sous-titre !&nbsp;<img data-src=" />&nbsp;<img data-src=" />


lmarecha
Il y a 9 ans

c’est bien, il vont pouvoir aider l’hadopi a etablire la liste des solutions de securisations qu iest attendue depuis…. heu combien d’annees deja…


Ricard
Il y a 9 ans






trou a écrit :

Elle l’est déjà :http://www.ssi.gouv.fr/administration/produits-certifies/


Heu… elle est où ta liste ?



Ricard
Il y a 9 ans

&nbsp;





nday a écrit :

Le sous-titre !&nbsp;<img data-src=" />&nbsp;<img data-src=" />


Qué quête ? <img data-src=" />



wanou Abonné
Il y a 9 ans

Merci pour l’info.


secouss
Il y a 9 ans

J’adore :&nbsp;

&nbsp;tout en prenant soin de fournir l’intégralité du code source «&nbsp;sans restriction&nbsp;»
&nbsp;Tant qu’à pas se casser le choux à le récupérer illégalement. C’est ça le choc de simplification <img data-src=" /> on vole plus, vous nous l’apportez sur clé usb 3.0 s’il vous plait ^^


mikfr
Il y a 9 ans

hum en gros, c’est des certifications obsolètes :)


Ricard
Il y a 9 ans
Ricard
Il y a 9 ans






mikfr a écrit :

hum en gros, c’est des certifications obsolètes :)


Heu… non. Les versions des logiciels sont peut-être obsolètes, mais pas la certification, par définition. ^ -^’



mikfr
Il y a 9 ans

Oui enfin je vois mal une boite dire qu’elle utilise des versions certifiées par l’anssi et que par conséquent, c’est sécurisé


Flykz
Il y a 9 ans

Y’en a qui vont pas se priver.
Mais bon ça change pas ce que ça vaut&nbsp;<img data-src=" />


Ricard
Il y a 9 ans

Faut rajouter aussi qu’une version obsolète n’est pas pour autant inefficace et insécurisée.


nday Abonné
Il y a 9 ans

Alors toi, je te mets 1 Ricard (sinon rien)…


CUlater
Il y a 9 ans


«&nbsp;Avoir les plus beaux PowerPoint n’est pas forcément un gage de sécurité !&nbsp;»
Ça&nbsp;vire pas mal de monde&nbsp;<img data-src=" />


Patch Abonné
Il y a 9 ans






Ricard a écrit :

Qué quête ? <img data-src=" />

du requin mâle <img data-src=" />



Nerkazoid
Il y a 9 ans

Rien que ça déjà… “L’éditeur devra du coup répondre à un lot d’objectifs, de fonctionnalités” <img data-src=" />


Ne2l Abonné
Il y a 9 ans
Fnux
Il y a 9 ans

Et en plus des sources à “offrir”, quel autre “service” doit on fournir? Oreillers, voyages, montres, valise d’espèces, sa copine ? Et tout ça pour que l’ANSSI refile les “bébés” gratos aux copains membres de l’arrangement de Wassenaar ! Y’a pas à dire, mais ils se foutent vraiment de notre gueule ! <img data-src=" />

C’est pour cela qu’une société d’origine française (TWD Industries) que l’ANSSI voulait dépouiller de son savoir s’est éclipsée en Suisse pour proposer ses très intéressants services de cryptographie http://www.trustleap.com) ! <img data-src=" />