Signature d’un accord de reconnaissance mutuelle des certificats de sécurité entre l'ANSSI et le BSI
Le directeur général de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), Guillaume Poupard, et le président du BSI (Bundesamt für Sicherheit in der Informationstechnik), Arne Schönbohm, ont signé un accord de reconnaissance mutuelle des certificats de sécurité pour les schémas CSPN (Certification de Sécurité de Premier Niveau) et BSZ (Beschleunigte Sicherheitszertifizierung). Chacun de ces schémas de certification permet des évaluations dans un délai prédéterminé et rend gérable l’effort qui incombe aux fournisseurs de produits, notamment en limitant la documentation.
Dès l'entrée en vigueur de l'accord, les certificats valides et publics précédemment délivrés seront reconnus en France comme en Allemagne, tandis que les prochains le seront dès leur publication. L'accord a vocation à couvrir l’ensemble des certificats émis par les deux schémas mais peuvent en être exclus s’ils sont, par exemple, soumis à une réglementation nationale spéciale.
Outre la reconnaissance mutuelle des certificats, l'accord pose les bases d'une coopération renforcée entre les organismes de certification de l'ANSSI et du BSI. Les échanges techniques réguliers sur la poursuite de l'harmonisation CSPN et BSZ, ainsi que sur le développement de ces schémas, pourront bénéficier d'un cadre formalisé.
Cet accord représente un pas supplémentaire vers l'harmonisation globale des schémas de certification s’appuyant sur dans un délai d’évaluation prédéterminé. La norme européenne FiTCEM (Fixed Time Cybersecurity Evaluation Methodology for ICT products, prEN 17640), en cours d'élaboration, permettra d’étendre au niveau européen l’harmonisation des ces pratiques, notamment via la création d'un système européen de certification basé sur le Cybersecurity Act.