FAQ - Produits et Services de Sécurité

Pour plus d’informations, veuillez consulter les pages suivantes : comprendre l’évaluation de solutions et choisir un type d’évaluation.

La qualification d’un produit ou d’un service par l’ANSSI est reconnue en France et, selon certains cadres règlementaires, en Europe. Recommandée par l’État français, elle offre également une visibilité sur les marchés national, européen et international. 

Une certification n’est valable que pour une version donnée d’un produit. À la demande du commanditaire, il est possible de prolonger une certification dans le temps ou de l’étendre à d’autres produits, selon différentes modalités.

Une qualification est octroyée pour une durée définie, généralement 2 à 3 ans selon le type de produit ou de service. Cependant, une qualification peut être maintenue dans le temps si l’ensemble des critères de qualification demeure respecté par le fournisseur du produit ou le prestataire de service.

A chaque produit et service qualifié est attribué un niveau de recommandation matérialisé par une coche verte, orange ou rouge qui représente la prescription de l’ANSSI pour l’acquisition et l’utilisation du produit ou du service au regard de son niveau de sécurité et de pérennité:

• catégorie verte : produit ou service recommandé sans réserve, y compris pour les nouveaux usages (ex: nouveau déploiement de produit, nouveau contrat de service) ;
• catégorie orange : produit ou service recommandé uniquement pour les usages existants, à ne pas privilégier pour les nouveaux usages (ex : produit pour lequel une nouvelle version qualifiée, plus performante, est disponible et à privilégier pour les nouveaux déploiements) ;
• catégorie rouge : produit ou service dont la qualification sera révoquée prochainement et dont le remplacement ou retrait doit être planifié (produits plus maintenu par son développeur, service prochainement interrompu, etc.)

Par défaut, le niveau de recommandation d’un produit ou d’un service qualifié est calculé automatiquement selon l’algorithme suivant : les produits et services dont la décision de qualification arrive à échéance dans moins de deux mois sont marqués rouge, ceux dont la qualification arrive à échéance dans moins de six mois sont marqués orange, et les autres sont marqués vert. Le niveau de recommandation par défaut peut ensuite être modifié au cas par cas selon les informations dont l’ANSSI dispose, soit de manière négative (obsolescence, vulnérabilités, décision de non renouvellement de la qualification, etc.), soit de manière positive (renouvellement de qualification en cours avec des éléments probants de réussite, etc.).

Le Visa de sécurité ANSSI est la marque lancée par l’agence en janvier 2018 afin de valoriser les produits, services et centres d’évaluation ayant été certifiés, qualifiés ou agréés. Il permet également aux acheteurs de solutions de repérer facilement et visuellement les solutions évaluées par l’agence.

La durée ainsi que le coût du processus d’obtention du Visa de sécurité dépendent du type de produit/service évalué, de la maturité de la solution présentée, des moyens de sécurité déjà mis en place dans l’entreprise, etc. Pour avoir une idée plus précise de ces éléments pour votre solution, veuillez vous rapprocher d’un centre d’évaluation .

Le Visa de sécurité est délivré aux produits et services qui ont obtenu une certification ou une qualification par l’ANSSI, ainsi qu’aux centres d’évaluation agréés par l’ANSSI.

Veuillez nous contacter via la page de contact et sélectionner le motif suivant « je souhaite savoir comment valoriser mon Visa de sécurité ANSSI » pour recevoir la charte graphique et éditoriale, ainsi que le logo.

À noter que le Visa de sécurité ne peut pas être utilisé pour valoriser le label Expert Cyber, le label SecNumedu, le label Ebios, ou le fait d’avoir complété le MOOC ANSSI.

L’ANSSI ne communique pas sur le statut des évaluations en cours.

La certification/qualification de solutions en mode IaaS est possible, celle en mode SaaS devrait l’être prochainement. Pour les services Cloud, la qualification en mode Saas est déjà possible avec le référentiel SecNumCloud.

La certification Critères Communs bénéficie d’une reconnaissance européenne via l’accord du SOG-IS et mondiale via l’accord du CCRA.

L’accord du SOG-IS (Senior Officials Group – Information Security) permet une reconnaissance des certificats CC jusqu’au niveau EAL4 par défaut et EAL7 pour certains types de produits. Plus d’infos : https://www.sogis.org/ 

L’accord du CCRA (Common Criteria Recognition Arrangement) permet la reconnaissance des certificats CC jusqu’au niveau EAL2 par défaut et EAL4 dans certains cas. Plus d’infos : https://www.commoncriteriaportal.org/

Seules les certifications délivrées par l’ANSSI donnent droit à l’utilisation du logo Visa de sécurité ANSSI.

Concernant la qualification ou la certification de sécurité de premier niveau (CSPN), la reconnaissance n’est valable qu’en France.

L’évaluation est possible avec le centre d’évaluation de votre choix, tant qu’il est agréé par l’ANSSI dans les domaines nécessaires à l’évaluation de votre solution. Veuillez suivre ce lien pour consulter la liste des centres d’évaluation.

La cible de sécurité décrit le produit ou la partie du produit à évaluer, la documentation et le processus de développement associés, et expose les problèmes de sécurité auxquels le produit doit répondre : informations à protéger, menaces pesant sur ces informations, fonctions de sécurité et conditions d’utilisation du produit prévues pour contrer ces menaces.

Pour rédiger une cible de sécurité pour votre produit ou logiciel, veuillez consulter les cibles déjà disponibles dans la liste des produits certifiés . Vous pouvez faire appel à un centre d’évaluation pour vous assister dans la rédaction de la cible de sécurité.

Le règlement eIDAS n°910/2014 du 23 juillet 2014 a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. L’ANSSI est l’un des organismes nationaux chargés de la mise en œuvre de ce règlement. Pour plus d’informations, veuillez consulter la page dédiée au règlement eIDAS .

Vous trouverez toutes les informations relatives à la signature électronique pour répondre à des appels d’offres dans le cadre des marchés publics sur cette page dédiée .

L’agrément atteste de l’aptitude d’un produit à protéger des informations marquées Diffusion Restreinte ou classifiées de défense, et/ou des niveaux de classification équivalents dans les contextes UE, OTAN ou interalliés. À la différence de la certification et de la qualification, qui reposent sur des processus et critères publiques et opposables, l’agrément relève d’une décision discrétionnaire de l’ANSSI, qui peut faire intervenir des éléments complémentaires. Il n’existe pas à ce stade d'équivalent de l'agrément de produit pour les prestataires de services.

Le Visa de sécurité ANSSI ne valorise que les solutions ayant obtenu la certification ou la qualification pour les produits et services, ou bien l’agrément pour les centres d’évaluation. Le terme de labellisation est utilisé par l’ANSSI pour désigner les attestations qu’elle délivre hors des cadres de la certification, de la qualification ou de l’agrément. Ces labellisations attestent de la conformité à un cahier des charges, et elles n’impliquent pas l’intervention d’une entité indépendante autre que l’ANSSI pour valider cette conformité. Les labels délivrés par l’ANSSI à ce jour sont le label Ebios et le label SecNumEdu.