FAQ - Vos questions sur la Certification de Produit

Des informations sont présentes sur notre page Comprendre la certification  | ANSSI.

Mais nous pouvons vous accompagner à choisir la meilleure solution de certification. Merci de nous écrire en fournissant toutes les informations relatives à votre produit => Division Industrie et Technologies

Les services couverts par l’ANSSI en tant que Centre de Certification National relèvent du domaine du service public et sont à cet effet gratuits. Les coûts liés à l’évaluation du produit par un centre d’évaluations agréés (CESTI) sont variables d’un projet à un autre, ceux-ci seront déterminés lors de la contractualisation avec le CESTI.

Un certificat "Critères Communs" est valable pour une durée maximale de 5 ans. Tandis qu'un certificat "Certification de Sécurité de Premier Niveau" est valable pour une durée maximale de 3 ans. A l'issue de cette période, le certificat est archivé. 

Remarque : le certificat sera archivé si le fabricant ne respecte pas ses obligations notamment sur la gestion des vulnérabilités.

Les Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI) sont agréés par le Centre de Certification National de l'ANSSI. Chacun dispose d'un ou de plusieurs domaines de compétences. 

En fonction de votre produit et de votre schéma de certification (CC ou CSPN), vous pourrez contractualiser avec l'un de ces 10 CESTIs. 

Oui, il faudra toutefois choisir un centre d’évaluation agréé par l’ANSSI.

L'ensemble des types de produits éligibles à la CSPN sont mentionnés dans la procédure de certification de sécurité de premier niveau CSPN-CER-P-01.

Pour être éligible à une certification CC, un produit doit correspondre à un des trois domaines techniques :

• Produits et systèmes de types, logiciels et réseaux ;
• Cartes à puce et dispositifs similaires ;
• Equipements matériels avec boîtiers sécurisés.

La procédure CC-CER-P-01 décrit la certification de ces produits.

L’ANSSI a défini des modèles de cible de sécurité en CSPN, consultables sur notre page dédiée.

Une passerelle multiniveau peut être certifiée CSPN ou CC. Il est recommandé de suivre les Recommandations pour les architectures des interconnexions multiniveaux | ANSSI .

Une station de travail multiniveau complète peut uniquement être certifiée CC, et non CSPN, du fait de la complexité intrinsèque de ce type de produit. Il est recommandé de suivre la « doctrine des fonctions de sécurité requises pour un poste multiniveau » (publication à venir) pour la définition de la cible de sécurité.

Cependant, il est éventuellement possible de certifier en CSPN un sous-ensemble d’une station de travail multiniveau, par exemple le socle hyperviseur de la solution.

Votre certificat CC sera reconnu à échelle européenne, dans le cadre du schéma de certification EUCC (European Union Common Criteria).

A l’échelle internationale, les certificats SOG-IS ou EUCC peuvent bénéficier d’une reconnaissance via l’accord du CCRA (Common Criteria Recognition Arrangement) à condition que votre pays soit membre de l’accord. Toutes les informations sur les états membres sont disponibles sur le site officiel du CCRA ou sur notre page dédiée.

La certification CPSN bénéficie d’un accord de reconnaissance avec l’Allemagne sur le schéma BSZ. Aucune démarche n’est à réaliser, le certificat CSPN sera reconnu et diffusable sur les territoires français et allemand, s’il rentre dans l’accord de reconnaissance. Des informations sont disponibles sur notre page dédiée.

Votre certificat EUCC a été édité au sein de l’Union Européenne ? Il sera donc reconnu par les états membres dont la France.

Vous voulez déposer votre candidature pour être agréé CESTI ? Voici quelques rappels des conditions et des démarches à remplir.

Les conditions :

• Le centre d’évaluation doit être indépendant ;
• Le centre d’évaluation doit pouvoir démontrer ses compétences en matière d’évaluation de produits lors d’une première évaluation dite « pilote » ;
• Les centres d'évaluation CC doivent être accrédités ISO 17025 en amont de l'agrément de l'ANSSI ;
• Le centre d’évaluation doit pouvoir fournir l’ensemble des éléments administratifs sur sa société.

Les démarches :

• Veuillez consulter la documentation officielle, afin de tester votre éligibilité ;
• Définir votre portée d’agrément, à partir des procédures officielles (les portées pourront être revues lors de l’examen du dossier) ;
• Consolider votre dossier à partir des éléments demandés par le Centre de Certification National ;
• Transmettre votre dossier à l’adresse mail suivante : certification@ssi.gouv.fr

Vous pouvez poser votre question au Centre de Certification National à l’adresse certification@ssi.gouv.fr ou consulter la liste des produits certifiés.

Vous pouvez contacter le Centre de Certification National à l’adresse certification@ssi.gouv.fr.

Non, la certification n’est ni systématique, ni garantie.

Un produit certifié assure que toutes les vulnérabilités analysées n’ont pas mis en défaut la robustesse du produit.

Par ailleurs, un produit certifié est évalué par rapport à un niveau ciblé par exemple CSPN (AVA_VAN3) ou CC (AVA_VAN.1/2/3/4/5) ce qui signifie qu’il peut contenir des vulnérabilités dont la cotation est supérieure au niveau évalué.

Non, une certification est associée à une version d’un produit ; si le produit évolue, le certificat ne sera pas valable sur la nouvelle version du produit. 

Non, un certificat porte sur un ensemble de fonctions de sécurité dans un périmètre défini dans le produit. Ces informations sont mentionnées dans la cible de sécurité.

Non. EUCC est dans la continuité de SOG-IS. EUCC et la CSPN sont deux types de certification de produit.

Si la CSPN se focalise sur l’activité de tests d’intrusion, EUCC comporte des activités de conformité.

La qualification d’un produit ou d’un service par l’ANSSI est reconnue en France et, selon certains cadres règlementaires, en Europe. Recommandée par l’État français, elle offre également une visibilité sur les marchés national, européen et international. 

Une qualification est octroyée pour une durée définie, généralement 2 à 3 ans selon le type de produit ou de service. Cependant, une qualification peut être maintenue dans le temps si l’ensemble des critères de qualification demeure respecté par le fournisseur du produit ou le prestataire de service.

A chaque produit et service qualifié est attribué un niveau de recommandation matérialisé par une coche verte, orange ou rouge qui représente la prescription de l’ANSSI pour l’acquisition et l’utilisation du produit ou du service au regard de son niveau de sécurité.

Par défaut, le niveau de recommandation d’un produit ou d’un service qualifié est calculé automatiquement selon l’algorithme suivant : les produits et services dont la décision de qualification arrive à échéance dans moins de deux mois sont marqués rouge, ceux dont la qualification arrive à échéance dans moins de six mois sont marqués orange, et les autres sont marqués vert. Le niveau de recommandation par défaut peut ensuite être modifié au cas par cas selon les informations dont l’ANSSI dispose, soit de manière négative (obsolescence, vulnérabilités, décision de non renouvellement de la qualification, etc.), soit de manière positive (renouvellement de qualification en cours avec des éléments probants de réussite, etc.).

La certification/qualification de solutions en mode IaaS est possible, celle en mode SaaS devrait l’être prochainement. Pour les services Cloud, la qualification en mode Saas est déjà possible avec le référentiel SecNumCloud.

Le règlement eIDAS n°910/2014 du 23 juillet 2014 a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. L’ANSSI est l’un des organismes nationaux chargés de la mise en œuvre de ce règlement. Pour plus d’informations, veuillez consulter la page dédiée au règlement eIDAS.

L’agrément atteste de l’aptitude d’un produit à protéger des informations marquées Diffusion Restreinte ou classifiées de défense, et/ou des niveaux de classification équivalents dans les contextes UE, OTAN ou interalliés. À la différence de la certification et de la qualification, qui reposent sur des processus et critères publiques et opposables, l’agrément relève d’une décision discrétionnaire de l’ANSSI, qui peut faire intervenir des éléments complémentaires. Il n’existe pas à ce stade d'équivalent de l'agrément de produit pour les prestataires de services.

Le Visa de sécurité ANSSI ne valorise que les solutions ayant obtenu la certification ou la qualification pour les produits et services, ou bien l’agrément pour les centres d’évaluation. Le terme de labellisation est utilisé par l’ANSSI pour désigner les attestations qu’elle délivre hors des cadres de la certification, de la qualification ou de l’agrément. Ces labellisations attestent de la conformité à un cahier des charges, et elles n’impliquent pas l’intervention d’une entité indépendante autre que l’ANSSI pour valider cette conformité. Les labels délivrés par l’ANSSI à ce jour sont le label Ebios et le label SecNumEdu.

L'ANSSI a mis en place des dispositions permettant aux prestataires de transformer leur qualification PASSI RGS et/ou LPM (respectivement PRIS) en vigueur selon la version 2.0 du référentiel PASSI (respectivement 2.0 du référentiel PRIS) en une qualification selon la version 2.2 du référentiel PASSI (respectivement 3.0 du référentiel PRIS).

Les critères et modalités de transformation de qualification PASSI sont publiés ici.

Les critères et modalités de transformation de qualification PRIS sont publiés ici.

La transformation de qualification n'est pas automatique, elle relève exclusivement du choix du prestataire.

S'il souhaite transformer sa qualification, le prestataire doit formuler sa demande par voie électronique auprès du bureau Qualifications et Agréments de l'ANSSI (qualification[@]ssi.gouv.fr) avant le 29 janvier 2025.

La demande de transformation de qualification est simplifiée, il n'est pas demandé au prestataire de déposer un nouveau dossier de demande de qualification.

La demande ne contient pas d'informations confidentielles, il n'est donc pas nécessaire de lui apposer une mention de protection ni de la chiffrer.

La demande de qualification doit :

• préciser la famille de service (PASSI et/ou PRIS) pour laquelle / lesquelles le prestataire demande la transformation
• préciser le niveau de qualification (substantiel ou élevé) demandé
• être signée par un représentant légal du prestataire (ou une personne ayant délégation de pouvoir). La signature peut être électronique, les courriers signés scannés sont également acceptés.

Toutes les demandes de transformation de qualification reçues jusqu'au 29 janvier 2025 seront traitées en lot par l'ANSSI début février 2025.

Toutes les décisions de qualification selon les nouveaux référentiels PASSI et PRIS prises dans le cadre de la transformation de qualification et reçues avant le 29 janvier 2025 seront octroyées et publiées dans le catalogue des produits et services qualifiés sur le site de l'ANSSI en même temps fin février 2025.

Vous devez vous rapprocher d'un centre d'évaluation des prestataires d'audit de la sécurité des systèmes d'information (PASSI) et lui demander l'évaluation de votre service d'audit selon le nouveau référentiel PASSI.

La liste des centres d'évaluation de PASSI est disponible ici.

A l'issue de l'évaluation, vous devrez envoyer au Bureau Qualifications et Agréments de l'ANSSI votre dossier de qualification en y joignant le rapport d'évaluation élaboré par le centre d'évaluation.

Le formulaire de demande de qualification est disponible ici.

Non, le Centre de Certification National n’effectue que de la certification de produits, de profils de protection ou de sites.

Le Centre de Certification National ne produit pas de certification de signature électronique. Vous retrouverez toutes les informations nécessaires dans notre Guide de sélection du niveau des signatures et des cachets électroniques. Ainsi que sur notre page dédiée. 

Pour toutes demandes d’orientation concernant la certification de produits contactez directement la division dédiée de l’ANSSI en fournissant toutes les informations relatives à votre produit => Division Industrie et Technologies

Le Centre de Certification National n’effectue aucune certification de produit dont la sécurité reposerait sur de l’IA. Si d’un point de vue fonctionnel, votre produit intègre de l’IA, veuillez vous rapprocher du Centre de Certification National pour valider l’éligibilité du produit.