Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

20/12/2024

Blog technique

L’évaluation de sécurité : centre de coût ou création de valeur ?

Alexandre Deloup, Directeur du SEAL

La sécurité informatique peut paraître, pour beaucoup, comme un centre de coût et de complexité : plan d’audits à mettre en place annuellement, déploiement de politiques de sécurité, patch management, etc. L’évaluation cyber n’échappe pas à cette règle et peut, de prime abord, également être considérée comme un coût pour les éditeurs.

AMOSSYS, de par sa position de CESTI français reconnu et expert des certifications CSPN et Critères Communs, dispose d’une position centrale sur ce marché et a pu, au fil des années, échanger avec un grand nombre d’éditeurs de solutions de sécurité autour de leurs problématiques et besoins.

Le Directeur de notre CESTI revient, ici, sur les bénéfices et intérêts d’une telle démarche.

L’évaluation de sécurité

L’évaluation des produits de sécurité, et in fine leur certification, est un moyen d’attester de la robustesse de ces produits à la suite de la réalisation de tests de conformité et à la mise en place d’une campagne de tests offensifs sur ceux-ci.

A l’issue de cette évaluation, si celle-ci s’avère positive, l’ANSSI (autorité de certification principale en France) délivre un certificat de sécurité qui peut être utilisé pour justifier du niveau de sécurité du produit, dans un cadre bien défini.

En France, deux types de certificats de sécurité sont émis par l’ANSSI : la Certification de Sécurité de Premier Niveau (CSPN), et la certification Critères Communs (CC).

Le schéma Critères Communs, reconnu internationalement, est basé sur plusieurs niveaux de certification (allant d’EAL1 à EAL7). Chaque niveau permet d’obtenir un avis de sécurité de plus en plus pointu sur le produit, allant d’une campagne de tests fonctionnels sur celui-ci, à la mise en œuvre de vérifications formelles du design et à la réalisation d’une campagne de tests techniques avancés sur le produit. En complément, une évaluation Critères Communs s’attache également à évaluer l’ensemble du cycle de vie du produit ainsi que sa documentation.

Plus orientée sur la technique, une évaluation CSPN se concentre sur la réalisation de tests techniques sur le produit, en temps contraint (en moyenne 25 jours.homme).

Suite à l’adoption du schéma EUCC par la Commission Européenne, les certifications Critères Communs vont être adaptées, en France et en Europe, pour s’adapter à ce nouveau schéma.

Des coûts

L’obtention de ces deux certifications ne peut se faire sans une évaluation de sécurité par un Centre d’Évaluation. Cette évaluation a donc un coût, qui peut être plus ou moins important selon les produits et le type de certification choisie.

En CSPN, les charges sont contraintes par l’ANSSI et les travaux se concentrent sur la robustesse du produit. Le coût financier est donc relativement limité pour le commanditaire de l’évaluation et pour l’éditeur du produit.

En revanche, une certification Critères Communs, de par la nature des points de vérification, sera plus coûteuse sur plusieurs aspects.

  • L’éditeur du produit devra fournir à son CESTI une base documentaire importante, car celle-ci devra être évaluée au cours des travaux. Un temps de constitution et de rédaction de cette documentation doit donc avoir lieu en amont du projet ;
  • Le modèle Critères Communs est, à la différence de la CSPN, un modèle itératif, au cours duquel l’éditeur peut apporter des corrections au produit pour traiter les vulnérabilités ou écueils identifiés par le CESTI. Un temps humain de prise en compte de ces retours doit donc être anticipé, et maintenu tout au long des travaux d’évaluation.
  • Enfin, la liste des tests et points de vérification demandés sont également plus importants qu’en CSPN, influant en conséquence sur le coût d’une telle évaluation.

Malgré tout, la certification de sécurité est en plein essor et apporte des avantages non négligeables à ses détenteurs.

Une visibilité accrue

Outre le bénéfice certain pour la sécurité du produit et pour son amélioration continue, la certification de sécurité offre une visibilité au produit au travers de la liste des produits de sécurité certifiés, publiée par l’ANSSI.

Cette liste recense l’ensemble des solutions logicielles qui disposent d’un certificat de sécurité valide, émis par l’ANSSI. Celle-ci est un point de référence pour les entités françaises qui recherchent des produits de référence dont la sécurité a été éprouvée au préalable. Ce « Visa de Sécurité » émis par l’ANSSI est donc un gage de la robustesse de cette solution face à un attaquant.

Dans le cas des certificats Critères Communs, ceux-ci disposant d’une valeur internationale, ils sont diffusés sur le site Web du portail international des CC.

En parallèle de cet argument différenciant commercialement, face à des concurrents qui ne disposeraient pas d’une telle validation de leur niveau de sécurité, la mise en place d’un processus de certification permet de sensibiliser les équipes de développement et de conception aux problématiques de sécurité et aux principes de défense en profondeur.

Les certificats émis par l’ANSSI disposant d’une durée de vie limitée (en général, 3 à 5 ans), il est nécessaire de renouveler son évaluation de sécurité pour maintenir le certificat sur les nouvelles versions du produit. Cette démarche régulière d’audit du produit et de confrontation de l’éditeur à l’évaluateur permet de tirer le produit et les équipes vers le haut, dans une démarche d’amélioration continue.

Dans la même veine qu’un programme d’audit dans une démarche ISO 27001, cette réalisation régulière d’évaluations de sécurité sensibilise les équipes et les conditionne à appliquer, au jour le jour, les bonnes pratiques de sécurité.

L'expérience AMOSSYS

Par sa position de CESTI français, expert du schéma CSPN depuis près de quinze ans et agréé par l’ANSSI sur l’ensemble des domaines techniques applicables à la CSPN, AMOSSYS a eu l’opportunité d’évaluer plusieurs centaines de produits de sécurité et d’accompagner un grand nombre d’éditeurs logiciels de toutes tailles.

Ces éditeurs observent une réelle plus-value dans la démarche de certification au travers de l’amélioration qu’elle apporte à la sécurité du produit. Point différenciant supplémentaire, l’évaluation de sécurité, qu’elle soit dans un cadre CSPN ou Critères Communs, s’attache à étudier la totalité du produit, y compris des mécanismes qui sont généralement moins audités (comme la journalisation, ou le stockage à froid des données). Les éditeurs peuvent ainsi obtenir un avis circonstancié sur la sécurité du produit à tous les niveaux.

Enfin, l’Union Européenne a mis en place ces dernières années plusieurs règlements qui vont imposer aux éditeurs de logiciels d’intégrer la sécurité tout au long du cycle de vie de leurs produits (via le Cyber Resilience Act), ou qui vont permettre la mise en place de schémas de certification communs et unifiés au niveau européen (au travers du Cybersecurity Act).

Ces deux réglementations vont donc d’une part rendre obligatoire la réalisation de telles évaluations sur les produits intégrant des composants numériques, mais vont également permettre une visibilité accrue des produits qui disposeront de tels certificats. La réalisation de ces évaluations, en anticipation de l’entrée en vigueur de ces obligations, est donc nécessaire pour être prêt au moment opportun.

AMOSSYS, expert des schémas CSPN et Critères Communs, et prêt à accueillir les schémas EUCC et FitCEM dès leur entrée en application, dispose des équipes en mesure de vous accompagner à toutes les étapes de votre projet de certification au travers de son Laboratoire d’Évaluation et d’Analyse.

Ce laboratoire est également en mesure de travailler avec vos équipes de développement pour auditer et évaluer la sécurité intrinsèque de vos produits ou des fonctions de sécurité que vous aurez implémentées.

Pourquoi choisir AMOSSYS ?

  • Expertise reconnue : Une expérience solide dans l’évaluation et la certification de produits de sécurité.
  • Accompagnement sur mesure : Un soutien personnalisé tout au long du processus de certification.
  • Anticipation des évolutions : Une veille constante pour vous informer et vous conseiller sur les évolutions réglementaires.

Contactez-nous dès aujourd’hui pour discuter de vos besoins et découvrir comment AMOSSYS peut vous aider à naviguer avec succès dans ce nouveau paysage de la certification en cybersécurité.

Amossys s’engage à ce que la collecte et le traitement de vos données, effectués à partir du site https://www.amossys.fr/ soient conformes au règlement général sur la protection des données (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée, relative à la protection des données à caractère personnel. Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Amossys, afin de répondre aux demandes d’informations. Vous pouvez accéder aux données vous concernant, demander leur rectification ou leur effacement. Vous disposez également d'un droit d’opposition, et d’un droit à la limitation du traitement de vos données (cf. cnil.fr pour plus d’informations sur vos droits). Vous pouvez exercer vos droits en contactant le Référent Données à caractère personnel d'Amossys à l’adresse suivante : [email protected]. Vos données seront conservées au sein de l’Union européenne, conformément à la réglementation en vigueur.

Voir les derniers articles de notre Blog technique et les dernières actualités

9 janvier 2025
Contrairement à une évaluation de sécurité réalisée dans un objectif de certification (CSPN ou Critères Communs), la recherche de vulnérabilités […]
Read more
16 décembre 2024
Après avoir exploré les vulnérabilités inhérentes aux modèles de langage à grande échelle (LLM) dans notre série d'articles, il est […]
Read more
28 novembre 2024
L'exfiltration de modèles LLM (Model Theft in english) par des acteurs malveillants ou des groupes de cyberespionnage avancés est une […]
Read more
26 novembre 2024
La surconfiance (Overreliance en anglais) peut survenir lorsqu'un LLM produit des informations erronées et les présente de manière autoritaire [...]
Read more
25 novembre 2024
Avec une souche éprouvée, des outils bien choisis et des cibles stratégiques, 8Base se distingue comme une menace particulièrement redoutable. […]
Read more
13 novembre 2024
Un système basé sur les LLM (Large Language Models) est souvent doté d'un certain degré d'autonomie par son développeur, [...]
Read more
12 novembre 2024
Les plugins pour LLM sont des extensions qui, lorsqu'ils sont activés, sont automatiquement appelés par le modèle pendant les interactions […]
Read more
7 novembre 2024
Les LLM ont le potentiel de révéler des informations sensibles (Sensitive Information Disclosure en anglais), des algorithmes propriétaires ou d'autres […]
Read more
6 novembre 2024
Le machine learning étend les vulnérabilités aux modèles pré-entraînés et aux données d'entraînement fournis par des tiers, qui sont susceptibles […]
Read more
31 octobre 2024
Un déni de service du modèle (Model Denial of Service en anglais) se produit quand un attaquant interagit avec un […]
Read more
Amossys a rejoint
le groupe Almond.
Découvrir les autres
sociétés du groupe :
- Découvrir Almond
- Découvrir Board of Cyber
A propos d'Amossys
Nos prestations
Nos produits
Nos insights
Join the A-Team
Contactez-nous
Github Linkedin Youtube
RENNES_
PARIS_
NANTES_
STRASBOURG_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Mentions légales
© 2023 Amossys. Tous droits réservés.
Twitter Linkedin Youtube Github